NetWitness Investigator, quando Wireshark non basta

netwitness investigator

Ho sempre pensato che Wireshark fosse il miglior analizzatore di pacchetti in circolazione. Effettivamente è proprio difficile trovare qualcosa di meglio, soprattutto perché si tratta di un programma multipiattaforma, in grado di sniffare utilizzando sia schede ethernet che wlan e capace di esportare i risultati di uno sniffing nel formato pcap.

L’unica mancanza di Wireshark, se così la vogliamo chiamare, è l’assenza di un tool che permetta di analizzare facilmente il traffico sniffato. Ed ecco che, almeno su Windows, può essere di fondamentale aiuto l’utilizzo combinato di NetWitness Investigator (per molti non sarà una novità ma personalmente l’ho scoperto solo da poco). Si tratta di un freeware per Windows, compatibile con XP, Vista e Windows 7, che non solo è in grado di sniffare il traffico che passa da una scheda ethernet o wifi ma soprattutto consente un’analisi approfondita del traffico. La bellezza del programma risiede proprio nella semplicità di visualizzazione dei dati di uno sniffing: si hanno tutti e subito gli elementi importanti ben visibili.

NetWitness Investigator può sniffare e analizzare in tempo reale il traffico oppure può essere utilizzato anche solo per l’analisi, consentendo l’importazione dei risultati di uno sniffing sotto forma di file .pcap. La cosa risulta molto comoda nel caso si esegua una cattura di dati con Wireshark o con tcpdump e poi si voglia dare in pasto a NetWitness Investigator i dati beneficiando della facilità di lettura consentita dal programma.

Nel caso di Wireshark basta salvare la sessione di cattura per avere a disposizione un file pcap; con tcpdump invece la scrittura di un file pcap va eseguita in questo modo:

tcpdump -w prova.pcap -i eth0 tcp port 80

NetWitness Investigator consente anche di scaricare giornalmente delle “Rules”, regole che permettono di individuare facilmente la presenza di malware, rootkit, botnet nei file pcap analizzati o durante uno sniffing live. Per familiarizzare con il programma consiglio di scaricare dei file pcap da OpenPacket.org e visualizzare i risultati. L’analisi di un pcap è eseguibile cliccando dall’interfaccia di NetWitness sul pulsante Collection, quindi su “Import packets”.

Ricordo che per utilizzare il programma va effettuata una registrazione gratuita.