Brim, per analizzare i file di log generati con Wireshark senza incertezze

Wireshark è il noto e apprezzato analizzatore di pacchetti dati (packet sniffer) che permette di verificare in tempo reale ciò che accade all’interno di una rete stabilendo quali informazioni fluiscono tra i server remoti e i singoli dispositivi client collegati al router via cavo Ethernet o in modalità WiFi: Wireshark, una breve guida all’uso.

Wireshark consente di impostare potenti filtri per estrarre solo i pacchetti dati che interessano e le informazioni relative a ciascuna attività.
Quando il traffico dati generato all’interno della LAN è intenso e sono tanti i dispositivi connessi capita spesso di dover gestire file di log di dimensioni imponenti: applicare i filtri diventa un’operazione lenta e complessa cosicché l’analisi dei pacchetti in transito diventa quasi impossibile.

Brim è un software sviluppato di recente – quindi ancora poco conosciuto – che permette di lavorare più efficacemente sui log di Wireshark estraendo i dati cercati.

Disponibile nelle versioni per Windows, macOS, Ubuntu/Debian e Red Hat/Fedora, Brim consente di scegliere il file PCAP di Wireshark da elaborare che viene immediatamente indicizzato per fornire riscontri fulminei in risposta a qualunque tipo di filtro.

I pacchetti dati vengono visualizzati su una timeline con diversi colori ed etichette che rendono manifesta la tipologia di ogni comunicazione: si troveranno ad esempio riferimenti quali HTTPS, DNS, SSH e così via.

Il pannello posto a destra nell’interfaccia di Brim mostra informazioni dettagliate su ciascun flusso dati tanto che con un clic su Conn è possibile approfondire l’intera conversazione.

Punto di forza di Brim è anche la casella di ricerca: inserendo ad esempio GET, POST, l’indirizzo IP o il nome di host è possibile estrarre dal file di log generato da Wireshark tutti i dati sulle informazioni inviate e ricevute dal singolo dispositivo connesso in rete locale.

Brim è quindi destinato a imporsi come complemento perfetto di Wireshark: anch’esso è un prodotto opensource e al momento non è ancora stato aggiunto ai principali repository delle distribuzioni Linux soltanto per il fatto di essere un progetto relativamente recente.

Il video che segue riassume tutte le potenzialità di Brim e ne mette in evidenza le molteplici abilità.