phhsnews.com


phhsnews.com / Comment utiliser Wireshark pour capturer, filtrer et inspecter des paquets

Comment utiliser Wireshark pour capturer, filtrer et inspecter des paquets


Wireshark, un outil d'analyse de réseau anciennement connu sous le nom d'Ethereal, capture les paquets en temps réel et les affiche en format lisible. Wireshark inclut des filtres, des codes de couleurs et d'autres fonctionnalités qui vous permettent d'approfondir le trafic réseau et d'inspecter les paquets individuels.

Ce tutoriel vous aidera à comprendre les bases de la capture, du filtrage et de l'inspection des paquets. Vous pouvez utiliser Wireshark pour inspecter le trafic réseau d'un programme suspect, analyser le flux de trafic sur votre réseau ou résoudre des problèmes réseau

Obtenir Wireshark

Vous pouvez télécharger Wireshark pour Windows ou macOS depuis son site officiel. Si vous utilisez Linux ou un autre système de type UNIX, vous trouverez probablement Wireshark dans ses dépôts de paquets. Par exemple, si vous utilisez Ubuntu, vous trouverez Wireshark dans le Centre logiciel Ubuntu.

Juste un petit avertissement: De nombreuses organisations n'autorisent pas Wireshark et les outils similaires sur leurs réseaux.

Capture de paquets

Après avoir téléchargé et installé Wireshark, vous pouvez le lancer et double-cliquer sur le nom d'une interface réseau sous Capture pour commencer à capturer des paquets sur cette interface. . Par exemple, si vous souhaitez capturer du trafic sur votre réseau sans fil, cliquez sur votre interface sans fil. Vous pouvez configurer les fonctionnalités avancées en cliquant sur Capture> Options, mais cela n'est pas nécessaire pour l'instant.

Dès que vous cliquez sur le nom de l'interface, les paquets commencent à apparaître en temps réel. Wireshark capture chaque paquet envoyé vers ou à partir de votre système.

Si le mode Promiscuous est activé (il est activé par défaut), tous les autres paquets du réseau s'affichent, et non uniquement les paquets adressés à votre carte réseau. Pour vérifier si le mode promiscuous est activé, cliquez sur Capture> Options et cochez la case "Activer le mode promiscuous sur toutes les interfaces" au bas de cette fenêtre.

Cliquez sur le bouton rouge "Stop" près du coin supérieur gauche de la fenêtre. fenêtre lorsque vous souhaitez arrêter la capture du trafic.

Code couleur

Vous verrez probablement les paquets mis en surbrillance dans une variété de couleurs différentes. Wireshark utilise des couleurs pour vous aider à identifier les types de trafic en un coup d'œil. Par défaut, violet clair est le trafic TCP, bleu clair est le trafic UDP et noir identifie les paquets avec des erreurs - par exemple, ils pourraient avoir été livrés dans le désordre.

Pour voir exactement ce que les codes couleur signifient, cliquez sur Affichage> Coloriage Règles.

Exemples de captures

S'il n'y a rien d'intéressant à inspecter sur votre propre réseau, le wiki de Wireshark vous en dit plus. Le wiki contient une page d'exemples de fichiers de capture que vous pouvez charger et inspecter. Cliquez sur Fichier> Ouvrir dans Wireshark et recherchez votre fichier téléchargé pour en ouvrir un.

Vous pouvez également enregistrer vos propres captures dans Wireshark et les ouvrir plus tard. Cliquez sur Fichier> Enregistrer pour sauvegarder vos paquets capturés

Filtrage des paquets

Si vous essayez d'inspecter quelque chose de spécifique, comme le trafic qu'un programme envoie en téléphonant à la maison, cela permet de fermer toutes les autres applications utilisant le réseau afin que vous puissiez réduire le trafic. Cependant, vous aurez probablement une grande quantité de paquets à passer au crible. C'est là qu'interviennent les filtres de Wireshark.

La manière la plus élémentaire d'appliquer un filtre est de le taper dans la boîte de filtre en haut de la fenêtre et de cliquer sur Appliquer (ou en appuyant sur Entrée). Par exemple, tapez "dns" et vous verrez uniquement les paquets DNS. Lorsque vous commencez à taper, Wireshark vous aidera à compléter automatiquement votre filtre.

Vous pouvez également cliquer sur Analyser> Afficher les filtres pour choisir un filtre parmi les filtres par défaut inclus dans Wireshark. De là, vous pouvez ajouter vos propres filtres personnalisés et les enregistrer pour y accéder plus facilement

. Pour plus d'informations sur le langage de filtrage d'affichage de Wireshark, consultez la page Créer des expressions de filtre d'affichage dans la documentation officielle de Wireshark.Une autre chose intéressante que vous pouvez faire est de cliquer avec le bouton droit sur un paquet et de sélectionner Suivre> Flux TCP.

Vous verrez la conversation TCP complète entre le client et le serveur. Vous pouvez également cliquer sur d'autres protocoles dans le menu Suivre pour voir les conversations complètes pour les autres protocoles, le cas échéant.

Fermez la fenêtre et vous constaterez qu'un filtre a été appliqué automatiquement. Wireshark vous montre les paquets qui composent la conversation

Inspecter les paquets

Cliquez sur un paquet pour le sélectionner et vous pouvez le déterrer pour en voir les détails

Vous pouvez également créer des filtres d'ici - juste à droite - cliquez sur l'un des détails et utilisez le sous-menu Apply as Filter pour créer un filtre basé sur celui-ci.

Wireshark est un outil extrêmement puissant, et ce tutoriel ne fait qu'effleurer la surface de ce que vous pouvez faire avec. Les professionnels l'utilisent pour déboguer les implémentations de protocole réseau, examiner les problèmes de sécurité et inspecter les composants internes du protocole réseau.


Vous trouverez des informations plus détaillées dans le Guide de l'utilisateur officiel de Wireshark et les autres pages de documentation sur Wireshark.


Les abonnements aux applications sont une bonne chose

Les abonnements aux applications sont une bonne chose

Je suis attaché aux applications que j'utilise. Je fais tout mon retouche photo dans Photoshop et Lightroom, j'utilise Airmail pour le courrier électronique, j'écoute de la musique avec Spotify, je lis les flux avec Inoreader et Reeder, je tweet avec Tweetbot, et surtout, j'écris avec Ulysses. Ulysses vient d'annoncer qu'il passe d'un modèle de paiement unique à un abonnement mensuel continu.

(how-top)

Comment essayer le macOS High Sierra Beta en ce moment

Comment essayer le macOS High Sierra Beta en ce moment

Excité à propos de High Sierra, mais vous ne voulez pas attendre l'automne? La version bêta publique est maintenant disponible pour essayer; voici comment l'installer. CONNEXION: Quoi de neuf dans MacOS 10.13 High Sierra, disponible maintenant Nous vous avons montré les nouvelles fonctionnalités de High Sierra à l'automne 2017.

(how-top)