Come usare Wireshark per rilevare connessioni dannose sul mio computer

(maggio 2016)

È più difficile di quanto non fosse prima perché c'è così tanto rumore (attività di scansione) su internet (almeno, per i dispositivi effettivamente su internet, che la maggior parte dei PC domestici non sono), e così tante applicazioni controllano gli aggiornamenti in background. Anche se trovate traffico inaspettato, è probabilmente qualche applicazione che è stata preinstallata sul vostro computer che controlla gli aggiornamenti o lo stato "just in case", come Skype che aspetta che qualcuno vi chiami. È possibile con i giusti filtri in Wireshark cercare solo il traffico originato sul tuo dispositivo - pacchetti SYN in uscita - ma potrebbe essere necessaria qualche ricerca per determinare se si tratta di una normale comunicazione da un'applicazione basata sul cloud, o di un malware che comunica con un controller basato sul cloud.

In passato, i rootkit su Linux erano in grado di nascondere al sistema un certo traffico verso certi indirizzi IP, che presumo includa wireshark, quindi si potrebbe avere un'idea migliore monitorando il router a monte. Non so se questo sia ancora un problema e se valga la pena di fare ulteriori inconvenienti.

Wireshark è certamente uno strumento che si può usare; per esempio, se vi viene detto che c'è del traffico malevolo proveniente dal vostro PC, potete identificarlo e leggerlo con wireshark e controllare se è davvero malevolo e non benigno, o se qualcun altro sta spoofando il vostro indirizzo. Se identificate traffico strano o file con netstat o lsof o equivalenti, potete catturare e decodificare il traffico - ad esempio, se un malware contatta un controller su internet, potete cercare altri computer che contattano lo stesso controller o che utilizzano le stesse porte.