Cos'è#
Un'interfaccia di rete è il punto di contatto tra il kernel Linux e una rete — fisica o virtuale. Ogni interfaccia ha un nome, un indirizzo IP, e gestisce un tipo specifico di traffico.
Come funziona#
KERNEL LINUX
│
┌────────────────┼────────────────┐
│ │ │
lo eth0 wlan0
│ │ │
(virtuale) (via cavo) (wi-fi)
127.0.0.1 192.168.1.x 192.168.1.x
│ │ │
traffico scheda di scheda
interno rete fisica wi-fi
alla macchina │ │
└────────────────┘
│
router
│
internetInterfacce principali#
| Interfaccia | Nome completo | Indirizzo tipico | Traffico |
|---|---|---|---|
lo | loopback | 127.0.0.1 | Interno alla macchina — mai esce fisicamente |
eth0 | ethernet 0 | 192.168.x.x | Rete cablata (scheda fisica) |
wlan0 | wireless LAN 0 | 192.168.x.x | Wi-Fi (scheda wireless) |
tun0 | tunnel 0 | 10.x.x.x | VPN — interfaccia virtuale per traffico cifrato |
docker0 | docker bridge | 172.17.0.1 | Traffico interno tra container Docker |
lo — Loopback#
[programma A] ──► lo (127.0.0.1) ──► [programma B]
tutto dentro il kernel
non tocca mai la scheda di rete fisica- Sempre attiva, sempre
127.0.0.1 localhostè solo un alias per127.0.0.1- Usata da: server locali, database, servizi interni
- Attenzione security: tcpdump può catturarla come qualsiasi altra interfaccia
eth0 — Ethernet#
- Scheda di rete fisica cablata
- Il nome può variare sui sistemi moderni:
enp3s0,ens33,eth0 - IP assegnato dal router via DHCP (o statico)
- Tutto il traffico verso internet o la LAN passa da qui
tun0 — Tunnel (VPN)#
[tuo traffico] ──► tun0 ──► cifrato ──► server VPN ──► internet
interfaccia (es. OpenVPN,
virtuale WireGuard)- Creata automaticamente quando attivi una VPN
- La vedrai spesso su TryHackMe e HackTheBox — quando ti connetti alla loro VPN compare
tun0 - Se
tun0non c'è, non sei connesso alla VPN e non raggiungi le macchine target
Comandi utili#
ip a # mostra tutte le interfacce e i loro IP
ip link show # mostra stato interfacce (up/down)
ifconfig # alternativa classica (potrebbe non essere installata)
sudo tcpdump -i lo # cattura traffico loopback
sudo tcpdump -i eth0 # cattura traffico rete esterna
sudo tcpdump -i tun0 # cattura traffico VPNPerché è importante per Blue Team#
Sapere quale interfaccia monitorare è fondamentale per l'analisi del traffico.
Traffico sospetto su lo = comunicazione tra processi locali (es. malware che parla con un C2 locale).
Traffico sospetto su eth0 = connessione verso esterno.
tun0 assente quando dovrebbe esserci = traffico non cifrato dalla VPN.
Analogia — La porta di ingresso/uscita#
Una interfaccia e' una porta fisica o virtuale attraverso cui i pacchetti entrano ed escono dalla macchina. Ogni porta gestisce un tipo specifico di traffico e ha il suo indirizzo IP.
IL TUO MAC
├── WiFi (en0) → traffico wireless verso internet
├── Ethernet (en1) → traffico via cavo
└── Loopback (lo) → traffico interno, mai esce
KALI SU UTM
└── eth0 (192.168.64.200) → Host-Only — parla con Ubuntu e Mac
UBUNTU SU UTM
└── enp0s1 (192.168.64.3) → Host-Only — parla con Kali e Mac
MAC HOST
└── bridge (192.168.64.1) → gateway della rete Host-OnlyWireshark mostra le interfacce disponibili con la linea ondulata del traffico in tempo reale — scegli quella giusta prima di catturare.
La scelta dell'interfaccia sbagliata in tcpdump o Wireshark significa non vedere nulla — i pacchetti passano su un'altra porta.
# Scopri le interfacce disponibili
sudo tcpdump -D # lista numerata
ip a # lista con IP assegnati
# Su Kali per vedere traffico verso Ubuntu
sudo tcpdump -i eth0 -n host 192.168.64.3
# Non funziona:
sudo tcpdump -i enp0s1 # enp0s1 non esiste su KaliScenario Reale#
Un analista SOC riceve un alert: un processo sta facendo connessioni di rete insolite. Prima cosa: ip a per vedere le interfacce attive. Poi sudo tcpdump -i eth0 -n per catturare il traffico esterno e sudo tcpdump -i lo -n per quello interno. Se il processo comunica solo su lo con un altro processo locale, potrebbe essere un malware in fase di staging che aspetta comandi da un secondo processo già compromesso.
