Per anni, capire cosa succedeva sulla propria connessione ha significato scegliere tra due estremi. Da un lato il Task Manager di Windows o il Monitoraggio Attività di macOS, che mostrano una colonna “rete” generica e poco utile. Dall’altro Wireshark, lo strumento di riferimento dei professionisti, potente ma con una curva di apprendimento che scoraggia chiunque non lavori in ambito networking.
Sniffnet si colloca nel mezzo. È un’applicazione open source scritta in Rust che monitora il traffico Internet in tempo reale, con un’interfaccia grafica pulita, leggibile e disponibile anche in italiano. L’autore di Sniffnet è un giovane ingegnere informatico italiano, Giuliano Bellini.
Funziona su Windows, macOS e Linux, pesa pochissimo sulle risorse di sistema e non richiede di leggere pacchetti esadecimali per capire cosa sta accadendo.
La versione 1.5, rilasciata il 14 aprile 2026, è quella che la rende interessante anche per chi non è del mestiere. Fino a poco tempo fa Sniffnet ti diceva con quali host stavi parlando, ma non quale programma sul tuo PC fosse responsabile di quel traffico. Ora lo fa, perché associa ogni connessione all’applicazione che l’ha generata. A questo si aggiunge il supporto alle blacklist di indirizzi IP personalizzate, che trasforma il programma da semplice osservatore a strumento di allerta. In questa breve guida vediamo come installarlo sui tre principali sistemi operativi, come sfruttare le due novità principali e, soprattutto, cosa puoi e cosa non puoi aspettarti da uno strumento di questo tipo.
Cosa vuol dire monitorare il traffico
Quando il sistema operativo ti mostra che un’app sta usando “2 Mbps”, ti sta dando un numero aggregato e niente più. Non sai verso quale server stiano andando quei dati, in quale paese si trovi quel server, né se si tratti di traffico legittimo o di qualcosa che non dovrebbe essere lì.
Sniffnet lavora a un livello più basso. Cattura i pacchetti che entrano ed escono dalla scheda di rete che scegli, li analizza al volo e ricostruisce un quadro leggibile di chi sta comunicando con cosa.
Per farlo si appoggia a una libreria di cattura pacchetti, che su Windows è Npcap e su Linux e macOS è libpcap. È la stessa tecnologia che usa Wireshark, ma Sniffnet ne nasconde la complessità dietro un’interfaccia a schede. Invece di una tabella infinita di pacchetti grezzi, vedi gli host con cui stai scambiando dati. Per ciascuno il programma prova a risolvere il nome di dominio tramite DNS inverso, a identificare l’azienda o l’ente che gestisce quell’indirizzo (l’ASN, ovvero l’Autonomous System) e a collocarlo geograficamente su una mappa. In pratica, al posto di “52.94.236.248” leggi qualcosa come “Amazon, Stati Uniti”.
C’è anche un motore di riconoscimento che identifica oltre seimila servizi e protocolli di livello applicativo, inclusi alcuni trojan e worm noti. Questo non fa di Sniffnet un antivirus, ma ti permette di accorgerti se sulla tua rete sta passando qualcosa di anomalo.
Installazione su Windows, macOS e Linux
Il punto da cui partire è sempre lo stesso, ovvero la libreria di cattura dei pacchetti. Senza di essa Sniffnet si avvia ma non vede nulla, quindi conviene installare prima la dipendenza giusta per il proprio sistema.
Su Windows, scarica l’installer .msi dal sito di Sniffnet oppure dalla pagina delle release di GitHub (sono disponibili le versioni x64, ARM64 e x86). Durante l’installazione, se Npcap non è già presente sul sistema, l’installer ti propone un riquadro per aprire il sito ufficiale e scaricarlo. Quando installi Npcap, ricordati di spuntare la casella “Install Npcap in WinPcap API-compatible Mode”, essenziale per far funzionare la cattura dei pacchetti.
Su macOS scarichi il .dmg (esistono build separate per Intel e Apple Silicon) e trascini l’app nella cartella Applicazioni. La libreria libpcap è già inclusa nel sistema, ma per catturare il traffico servono privilegi elevati. Se preferisci usare Homebrew, l’installazione è immediata.
brew install sniffnet
Su Linux hai pacchetti .deb, .rpm e un’AppImage per le architetture più comuni. La dipendenza da installare è la versione di sviluppo di libpcap. Su Debian e Ubuntu i comandi sono questi.
sudo apt update
sudo apt install libpcap-dev
sudo dpkg -i Sniffnet_LinuxDEB_amd64.deb
Su Fedora e derivate il comando equivalente cambia di poco.
sudo dnf install libpcap-devel
sudo rpm -i Sniffnet_LinuxRPM_x86_64.rpm
Per evitare di lanciare l’app come root ogni volta, su Linux puoi assegnare le capability di cattura direttamente all’eseguibile, così potrai avviarlo da utenza normale.
sudo setcap cap_net_raw,cap_net_admin=eip $(which sniffnet)
Chi ha l’ambiente Rust già configurato può anche compilare il programma da sorgente con cargo install sniffnet, scaricando l’ultima versione pubblicata. Al primo avvio Sniffnet ti chiede semplicemente quale scheda di rete osservare. Una nota gradita della 1.5 è che ora la schermata iniziale mostra un piccolo grafico di anteprima del traffico per ogni adattatore, così capisci a colpo d’occhio qual è quello attivo senza doverli provare a tentativi.
Vedere quale programma genera traffico
La richiesta di poter associare il traffico alle applicazioni era aperta dal 2022, ed è arrivata proprio con la 1.5. È la funzione che colma la distanza tra un generico “c’è del traffico verso un server tedesco” e un preciso “è il mio client di posta che sta sincronizzando la casella“. Nella pagina di panoramica, accanto agli host e ai servizi, ora trovi l’elenco dei programmi del tuo computer che stanno comunicando, con il relativo volume di dati in entrata e in uscita.
Puoi scoprire quanto traffico genera in background un’app che credevi inattiva, oppure individuare quel processo di aggiornamento che scarica centinaia di megabyte mentre stai lavorando in tethering. Poi se compare un eseguibile che non riconosci e che dialoga con un indirizzo all’estero, hai un buon punto di partenza per indagare, invece di un IP isolato e anonimo.
Sniffnet 1.5 ha anche potenziato il sistema dei preferiti. Prima potevi marcare come favoriti solo gli host, ora puoi farlo anche con servizi e programmi, e questi preferiti vengono salvati tra una sessione e l’altra.
La combinazione con le notifiche è la parte interessante. Puoi impostare un avviso che ti segnala ogni volta che un programma specifico inizia a generare traffico. Se ti aspetti che una certa app resti silenziosa quando non la usi, questo è il modo più diretto per accorgerti se così non è.
L’identificazione del programma funziona bene per le applicazioni che mantengono connessioni proprie, ma il traffico instradato attraverso processi di sistema condivisi o servizi di terze parti può risultare attribuito a un contenitore generico anziché all’app che lo ha realmente richiesto. È un limite tecnico legato a come i sistemi operativi espongono queste informazioni, non un difetto di Sniffnet, e conviene tenerlo presente prima di trarre conclusioni affrettate su un processo sospetto.
Blacklist IP personalizzate
L’altra aggiunta della 1.5 è il supporto alle blacklist di indirizzi IP. Detto in parole semplici, puoi fornire a Sniffnet un elenco di indirizzi considerati indesiderati e l’applicazione ti avvisa quando il tuo computer comunica con uno di essi.
Una blacklist è semplicemente un file di testo con un indirizzo per riga. Le versioni più recenti dello sviluppo stanno introducendo anche il supporto agli intervalli in notazione CIDR, quindi potrai indicare interi blocchi di rete (ad esempio 185.220.101.0/24) invece di elencare ogni singolo indirizzo. Un file minimale ha questo aspetto.
185.220.101.45
45.137.21.9
193.169.255.0/24
Da dove arrivano gli indirizzi da inserire? Esistono liste pubbliche e gratuite di IP associati ad attività malevole, mantenute da progetti come FireHOL, Spamhaus o le feed di nodi Tor, che puoi scaricare e adattare al formato richiesto. In alternativa puoi costruire la tua lista personale. Se durante l’uso noti un indirizzo che non ti convince, lo aggiungi al file e da quel momento riceverai un avviso a ogni nuovo contatto.
Per chi gestisce un piccolo homelab, questo approccio si sposa bene con strumenti di difesa più strutturati come CrowdSec, di cui la blacklist di Sniffnet diventa un complemento visivo immediato sul singolo PC. Anche qui serve chiarezza su un punto fondamentale, perché Sniffnet ti avvisa ma non interviene. Quando rileva una connessione verso un indirizzo in blacklist non la interrompe e non la blocca, dato che non è un firewall. Il suo compito è darti la visibilità necessaria per decidere il da farsi, che si tratti di chiudere un’applicazione, aggiungere una regola al firewall di sistema o approfondire l’indagine.
Notifiche, modalità thumbnail ed export verso Wireshark
Una volta capito cosa osservare, il valore di Sniffnet sta nel poterlo tenere acceso senza che diventi ingombrante. Qui entra in gioco la modalità thumbnail, una vista compatta che riduce l’applicazione a un riquadro spostabile in un angolo dello schermo. Continui a vedere l’andamento del traffico e a ricevere le notifiche mentre lavori ad altro, con un piccolo contatore che segnala gli avvisi non letti. È il modo pensato per tenere Sniffnet in funzione tutto il giorno senza che dia fastidio.
Il sistema di notifiche è configurabile dall’apposita scheda delle impostazioni e copre diversi eventi, tra cui il superamento di una soglia di pacchetti al secondo, il superamento di una soglia di byte al secondo, il traffico da una connessione preferita e i contatti con host in blacklist. Dalla versione 1.4.2 è possibile inviare le notifiche anche da remoto tramite webhook, dettaglio prezioso per chi vuole integrare gli avvisi in un sistema di monitoraggio esterno o riceverli su un altro dispositivo. Imposta soglie sensate per la tua connessione, altrimenti rischi di essere sommerso da avvisi inutili durante un normale download.
Per il filtraggio fine, Sniffnet supporta i Berkeley Packet Filter, la stessa sintassi usata da Wireshark e tcpdump, quindi puoi limitare la cattura (per esempio a una sola porta o a un protocollo specifico). E quando l’analisi visiva non basta, entra in gioco l’export in formato PCAP. Sniffnet salva l’intera cattura in un file standard che puoi aprire in Wireshark per ispezionare i singoli pacchetti nel dettaglio.
Questo flusso è la sintesi del progetto. Usi Sniffnet per la visione d’insieme, capisci a colpo d’occhio dove si concentra qualcosa di anomalo e passi allo strumento specialistico solo per la porzione di traffico che ti interessa, senza annegare in migliaia di righe fin dall’inizio.
# Esempio: avviare subito la cattura su un'interfaccia specifica
sniffnet --adapter "Wi-Fi"
# Stampare il percorso del file di configurazione (utile per backup)
sniffnet --config_path
Considerazioni finali
Sniffnet riempie uno spazio rimasto vuoto a lungo, quello tra gli strumenti troppo grezzi del sistema operativo e gli analizzatori professionali troppo complessi. È uno strumento maturo per chi è semplicemente curioso e per l’appassionato che gestisce qualche servizio in casa.
L’identificazione delle app e le blacklist personalizzate sono esattamente le funzioni che mancavano per passare dall’osservazione passiva all’allerta consapevole. Il fatto che sia gratuito, open source con licenza permissiva, scritto in Rust è un valore aggiunto.
Non è un firewall e non blocca nulla, non è un antivirus e non decifra il contenuto delle comunicazioni cifrate, l’attribuzione del traffico ai singoli programmi è ottima ma non infallibile, e la geolocalizzazione dipende da database esterni (come quelli di MaxMind e IPinfo) che vanno tenuti aggiornati.
Entro questi confini, però, fa il suo lavoro con una chiarezza che pochi strumenti gratuiti offrono. Se ti sei mai chiesto perché la spia della connessione lampeggia mentre il computer dovrebbe essere fermo, o se vuoi semplicemente capire meglio cosa succede sulla tua rete, vale la pena tenerlo acceso in un angolo dello schermo. Scoprirai con buona probabilità che il tuo computer parla con molte più macchine di quante immaginassi, e finalmente saprai con quali.
Fonti: Repository GitHub di Sniffnet · Sito ufficiale · Wiki del progetto
