Guida: Come controllare chi è connesso al tuo Wi-Fi con Wireshark

, , , , , , ,

Logo di Wireshark, il software analizzatore di protocolli di rete utilizzato per monitorare il traffico Wi-Fi

Il Wi-Fi di casa a volte rallenta senza motivo, o forse hai il sospetto che un vicino stia utilizzando la tua connessione a tua insaputa. Esistono molte applicazioni semplici per monitorare chi è connesso, come Angry IP Scanner (per Windows, Mac e Linux) o WiFiman (anche per dispositivi mobile), ma utilizzare Wireshark è come passare ai raggi X la tua rete.


Perché Wireshark?

Wireshark (gratuito e open source) è un potente analizzatore di protocolli di rete: non si limita a dirti che un dispositivo è presente, ma ti permette di vedere i messaggi che quel device invia nell'aria. In questa guida impareremo a usarlo in modo mirato per identificare gli "ospiti" della nostra rete domestica.


Download Wireshark e Npcap Free Edition

Per iniziare, scarica il software dal sito ufficiale wireshark.org. Puoi scegliere se installarlo o usarlo nella sua versione Portable. Per usarlo dovrai installare un componente chiamato Npcap.


Perché Npcap è obbligatorio? Normalmente, la tua scheda di rete scarta tutti i dati che non sono indirizzati specificamente al tuo computer. Npcap è la libreria di acquisizione (e invio) di pacchetti del progetto Nmap per Microsoft Windows che permette alla scheda di entrare in modalità promiscua.
In pratica, Wireshark può "ascoltare" tutto il traffico che passa nel raggio d'azione del tuo router, anche quello degli altri dispositivi.


Questo consente a Windows di acquisire il traffico di rete raw (incluse reti wireless, Ethernet cablata, traffico localhost e molte VPN) utilizzando un'API semplice e portabile.
Scarica l'installer dal sito ufficiale Npcap (per tutte le versioni di Windows: x86, x64 e ARM64).
In fase di installazione, seleziona la casella "Install Npcap in WinPcap API-compatible Mode", poi clicca il pulsante Install.

screenshot installazione Npcap e relativa selezione della casella Install Npcap in WinPcap API-compatible Mode

Configurazione per la prima scansione

Al primo avvio di Wireshark, ti troverai davanti a un'interfaccia complessa. Niente panico.

Identifica prima il tuo PC (preparazione)

Prima di scansionare gli altri, devi sapere chi sei tu. Apri il Prompt dei comandi (CMD), digita ipconfig e premi Invio.
Segnati l'Indirizzo IPv4 (es. 192.168.1.10) e il Gateway predefinito (es. 192.168.1.1). Il primo è il tuo PC, il secondo è il tuo Router.

La lingua dell'interfaccia

opzioni lingua dell'interfaccia

Dovrebbe avviarsi direttamente nella lingua del tuo sistema operativo. Se preferisci cambiarla o se è in inglese e vuoi l'italiano:

  • Nel menu in alto, vai su Modifica (o Edit) > scorri in basso fino a Preferenze (Preferences).
  • Nella sezione Aspetto (Appearance), troverai il menu a tendina per la lingua.
  • Clicca su Applica, poi OK e riavvia il programma.

Scegli la "porta" giusta

Schermata principale di Wireshark che mostra l'elenco delle interfacce di rete disponibili con i grafici dell'attività in tempo reale per la connessione Wi-Fi.

Nella schermata principale vedrai una lista di interfacce (con dei grafici a linea accanto). Cerca quella chiamata Wi-Fi. Se vedi dei picchi nel grafico, significa che c'è attività. Fai doppio clic sul nome dell'interfaccia per iniziare a "catturare" i dati.

Filtra il rumore

Appena avviata la scansione, vedrai scorrere centinaia di righe colorate al secondo. È il caos, ed è normale. Per capire chi è connesso al tuo WiFi di casa senza impazzire, useremo un filtro specifico per il protocollo ARP (Address Resolution Protocol).


L'ARP è il protocollo che i dispositivi usano per dire: "Ehi, io sono il dispositivo con questo indirizzo MAC, a quale IP corrispondo?".
Nella barra in alto (la barra dei filtri) subito sotto tutte le icone, scrivi in minuscolo arp e premi Invio dalla tastiera (o clicca sul pulsantino a destra della barra).

Cosa dicono le colonne

Schermata di cattura pacchetti su Wireshark con filtro ARP applicato; la colonna Info mostra le richieste 'Who has' e le risposte 'is at' per identificare gli indirizzi IP e MAC dei dispositivi connessi

Una volta applicato il filtro arp, Wireshark ti mostrerà una lista di righe (pacchetti). Non farti spaventare dai nomi strani, ecco come decifrarli:

  • La colonna Source (sorgente) indica chi sta inviando il messaggio. Wireshark di solito mostra il nome del produttore (es. Samsung, Intel, Vantiva). Se vedi un nome che non possiedi (es. Xiaomi), hai trovato un potenziale intruso.
  • Su Destination leggerai spesso Broadcast. Significa che il messaggio è inviato "a tutti" i dispositivi della rete per chiedere chi è presente.
  • Info è il contenuto del messaggio. "Who has...?" è il dispositivo o il router che sta cercando qualcuno in rete (es. Who has 192.168.1.1? Tell 192.168.1.5). "...is at..." è il device connesso che risponde "eccomi, sono io" fornendo il suo indirizzo fisico (es. 192.168.1.5 is at 00:11:22...).

Cosa fare per identificare i dispositivi

Per capire quanti e quali dispositivi sono connessi, segui questi passaggi pratici:

  • Conta le risposte: Ogni riga che contiene la dicitura "is at" corrisponde a un apparecchio attivo in quel momento. Se conti 4 messaggi con indirizzi IP diversi (es. .1, .5, .10, .15), ma in casa hai solo 3 prodotti tecnologici, c'è qualcosa che non va. In questo caso, spegni temporaneamente il Wi-Fi su tutti i tuoi apparecchi collegati e guarda cosa rimane.
  • Verifica il MAC Address: Se la colonna Source mostra solo numeri e lettere (es. a4:91:b1...), quello è l'identificativo fisico della scheda di rete. Puoi confrontarlo con l'indirizzo MAC che trovi nelle impostazioni del tuo smartphone o del PC per capire se quel traffico appartiene a te o a un estraneo.
  • Il trucco per "svegliare" i device: Se un telefono (anche un tablet o il pc) non appare nella lista, sbloccalo e disattiva/riattiva il Wi-Fi. Dopo un po' vedrai apparire una riga ARP che annuncia la sua presenza in rete.

Cosa fare in caso di intrusioni

Anche se le reti moderne sono protette, un accesso non autorizzato può verificarsi se la password è troppo semplice, se il protocollo WPS è attivo (una vecchia funzione per connettersi premendo un tasto, ma vulnerabile agli attacchi) o se hai condiviso la chiave Wi-Fi con qualcuno che si trova ancora nelle vicinanze.


Se tramite Wireshark hai identificato un dispositivo "intruso", ecco i passaggi fondamentali per mettere in sicurezza la tua rete:

  • Cambia la password del Wi-Fi: Accedi al pannello di controllo del router (digitando l'indirizzo del Gateway nel browser, es. 192.168.1.1 o 192.168.0.1) e imposta una chiave complessa che includa numeri, simboli e lettere maiuscole.
    Se per te è la prima volta, il tuo nome utente e password dovrebbe essere "admin" / "admin". Modifica subito le credenziali di accesso e poi continua.
  • Nota: Ti informo che anche dal pannello di controllo del tuo router/modem puoi vedere la lista completa di tutti i dispositivi collegati in tempo reale, fornendoti un confronto immediato con i dati che stai visualizzando su Wireshark.
  • Aggiorna la crittografia: Nelle impostazioni wireless, verifica che sia selezionato lo standard WPA2-AES o, se disponibile, il più recente WPA3. Non usare mai il vecchio standard WEP.
  • Disabilita il WPS: Cerca nelle impostazioni la voce relativa al WPS e disattivala. Chiuderà una delle porte d'ingresso preferite dai software di hacking automatizzati.
  • Quando finisci, riavvia il router in modo da forzare la disconnessione di tutti gli utenti. Solo chi possiede la nuova chiave potrà ricollegarsi.

Verifica della sicurezza: come confermare l'avvenuta esclusione

Dopo aver messo in sicurezza la rete, facciamo un test di controllo. Avvia una nuova sessione di cattura su Wireshark e applica nuovamente il filtro arp: se le uniche righe "is at" visualizzate corrispondono agli indirizzi IP e MAC dei tuoi dispositivi personali, avrai la conferma che gli accessi non autorizzati sono stati interrotti con successo.


Potrebbe interessarti anche:
Trovare password Wi-Fi salvate su Windows: guida rapida
Wi-Fi: come risolvere il problema dell'accesso limitato o assente
Come velocizzare la rete Wi-Fi
Condividere la connessione mobile tramite hotspot o tethering

Print

Puoi salvare questa pagina aggiungendo un segnalibro ⭐ al tuo browser premendo Ctrl+D (PC) Cmd+D (Mac)

Maurizio Carbonaro, autore e fondatore di TantiLink

Maurizio Carbonaro

imbianchino e cartongessista

Catania, Italia

Autore e fondatore di TantiLink, umile imbianchino "appassionato" di informatica e tecnologia. Un Blog a 360° nato per gioco sette anni fa che tratta diversi argomenti sul mondo della tecnologia e dell’intrattenimento digitale. Non sono un guru come Aranzulla!

icona busta email png trasparente pulsante donazione paypal
By alle
Etichette: , , , , , , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)