Comment utiliser Wireshark : un didacticiel complet

Table des matières:

Comment utiliser Wireshark : un didacticiel complet
Comment utiliser Wireshark : un didacticiel complet
Anonim

Ce qu'il faut savoir

  • Wireshark est une application open source qui capture et affiche les données circulant sur un réseau.
  • Parce qu'il peut explorer et lire le contenu de chaque paquet, il est utilisé pour résoudre les problèmes de réseau et tester les logiciels.

Les instructions de cet article s'appliquent à Wireshark 3.0.3 pour Windows et Mac.

Bottom Line

Initialement connu sous le nom d'Ethereal, Wireshark affiche les données de centaines de protocoles différents sur tous les principaux types de réseaux. Les paquets de données peuvent être visualisés en temps réel ou analysés hors ligne. Wireshark prend en charge des dizaines de formats de fichiers de capture/trace, y compris CAP et ERF. Les outils de décryptage intégrés affichent les paquets cryptés pour plusieurs protocoles courants, notamment WEP et WPA/WPA2.

Comment télécharger et installer Wireshark

Wireshark peut être téléchargé gratuitement sur le site Web de la Wireshark Foundation pour macOS et Windows. Vous verrez la dernière version stable et la version de développement actuelle. Sauf si vous êtes un utilisateur avancé, téléchargez la version stable.

Image
Image

Pendant le processus d'installation de Windows, choisissez d'installer WinPcap ou Npcap si vous y êtes invité car ceux-ci incluent les bibliothèques requises pour la capture de données en direct.

Image
Image

Vous devez être connecté à l'appareil en tant qu'administrateur pour utiliser Wireshark. Sous Windows 10, recherchez Wireshark et sélectionnez Exécuter en tant qu'administrateur Sous macOS, cliquez avec le bouton droit sur l'icône de l'application et sélectionnez Get InfoDans les paramètres Sharing & Permissions, accordez à l'administrateur les privilèges Read & Write.

Image
Image

L'application est également disponible pour Linux et d'autres plates-formes de type UNIX, notamment Red Hat, Solaris et FreeBSD. Les fichiers binaires requis pour ces systèmes d'exploitation se trouvent au bas de la page de téléchargement de Wireshark dans la section Third-Party Packages. Vous pouvez également télécharger le code source de Wireshark à partir de cette page.

Comment capturer des paquets de données avec Wireshark

Lorsque vous lancez Wireshark, un écran de bienvenue répertorie les connexions réseau disponibles sur votre appareil actuel. À droite de chacun se trouve un graphique linéaire de style ECG qui représente le trafic en direct sur ce réseau.

Pour commencer à capturer des paquets avec Wireshark:

  1. Sélectionnez un ou plusieurs réseaux, accédez à la barre de menus, puis sélectionnez Capture.

    Pour sélectionner plusieurs réseaux, maintenez la touche Shift pendant que vous faites votre sélection.

    Image
    Image
  2. Dans la fenêtre Wireshark Capture Interfaces, sélectionnez Start.

    Il existe d'autres moyens de lancer la capture de paquets. Sélectionnez aileron de requin sur le côté gauche de la barre d'outils Wireshark, appuyez sur Ctrl+E ou double-cliquez sur le réseau.

    Image
    Image
  3. Select File > Save As ou choisissez une option Export pour enregistrer la capture.

    Image
    Image
  4. Pour arrêter la capture, appuyez sur Ctrl+E. Ou, allez dans la barre d'outils Wireshark et sélectionnez le bouton rouge Stop situé à côté de l'aileron de requin.

    Image
    Image

Comment afficher et analyser le contenu des paquets

L'interface de données capturées contient trois sections principales:

  • Le volet de la liste des paquets (la section du haut)
  • Le volet des détails du paquet (la section du milieu)
  • Le panneau des octets de paquets (la section inférieure)
Image
Image

Liste de paquets

Le volet de la liste des paquets, situé en haut de la fenêtre, affiche tous les paquets trouvés dans le fichier de capture actif. Chaque paquet a sa propre ligne et son numéro correspondant, ainsi que chacun de ces points de données:

  • No: ce champ indique quels paquets font partie de la même conversation. Il reste vide jusqu'à ce que vous sélectionniez un paquet.
  • Time: L'horodatage du moment où le paquet a été capturé est affiché dans cette colonne. Le format par défaut est le nombre de secondes ou de secondes partielles depuis la création de ce fichier de capture spécifique.
  • Source: Cette colonne contient l'adresse (IP ou autre) d'où provient le paquet.
  • Destination: Cette colonne contient l'adresse à laquelle le paquet est envoyé.
  • Protocole: Le nom du protocole du paquet, tel que TCP, peut être trouvé dans cette colonne.
  • Length: La longueur du paquet, en octets, est affichée dans cette colonne.
  • Info: Des détails supplémentaires sur le paquet sont présentés ici. Le contenu de cette colonne peut varier considérablement en fonction du contenu du paquet.

Pour changer le format de l'heure en quelque chose de plus utile (comme l'heure réelle de la journée), sélectionnez View > Time Display Format.

Image
Image

Lorsqu'un paquet est sélectionné dans le volet supérieur, vous remarquerez peut-être qu'un ou plusieurs symboles apparaissent dans la colonne No.. Des parenthèses ouvertes ou fermées et une ligne horizontale droite indiquent si un paquet ou un groupe de paquets fait partie de la même conversation aller-retour sur le réseau. Une ligne horizontale discontinue signifie qu'un paquet ne fait pas partie de la conversation.

Image
Image

Détails du paquet

Le volet de détails, situé au milieu, présente les protocoles et les champs de protocole du paquet sélectionné dans un format pliable. En plus d'étendre chaque sélection, vous pouvez appliquer des filtres Wireshark individuels en fonction de détails spécifiques et suivre des flux de données en fonction du type de protocole en cliquant avec le bouton droit sur l'élément souhaité.

Image
Image

Octets de paquet

En bas se trouve le volet des octets de paquet, qui affiche les données brutes du paquet sélectionné dans une vue hexadécimale. Ce vidage hexadécimal contient 16 octets hexadécimaux et 16 octets ASCII à côté du décalage de données.

La sélection d'une partie spécifique de ces données met automatiquement en surbrillance la section correspondante dans le volet des détails du paquet et vice versa. Tous les octets qui ne peuvent pas être imprimés sont représentés par un point.

Image
Image

Pour afficher ces données au format binaire plutôt qu'hexadécimal, faites un clic droit n'importe où dans le volet et sélectionnez as bits.

Image
Image

Comment utiliser les filtres Wireshark

Les filtres de capture indiquent à Wireshark de n'enregistrer que les paquets qui répondent aux critères spécifiés. Des filtres peuvent également être appliqués à un fichier de capture qui a été créé afin que seuls certains paquets soient affichés. Ceux-ci sont appelés filtres d'affichage.

Wireshark fournit un grand nombre de filtres prédéfinis par défaut. Pour utiliser l'un de ces filtres existants, saisissez son nom dans le champ de saisie Apply a display filter situé sous la barre d'outils Wireshark ou dans le champ Enter a capture filterchamp situé au centre de l'écran d'accueil.

Par exemple, si vous souhaitez afficher les paquets TCP, tapez tcp. La fonction de saisie semi-automatique de Wireshark affiche les noms suggérés lorsque vous commencez à taper, ce qui facilite la recherche du surnom correct pour le filtre que vous recherchez.

Image
Image

Une autre façon de choisir un filtre est de sélectionner le signet sur le côté gauche du champ de saisie. Choisissez Manage Filter Expressions ou Manage Display Filters pour ajouter, supprimer ou modifier des filtres.

Image
Image

Vous pouvez également accéder aux filtres précédemment utilisés en sélectionnant la flèche vers le bas sur le côté droit du champ de saisie pour afficher une liste déroulante d'historique.

Image
Image

Les filtres de capture sont appliqués dès que vous commencez à enregistrer le trafic réseau. Pour appliquer un filtre d'affichage, sélectionnez la flèche vers la droite à droite du champ de saisie.

Règles de couleur Wireshark

Alors que les filtres de capture et d'affichage de Wireshark limitent les paquets enregistrés ou affichés à l'écran, sa fonction de colorisation va encore plus loin: elle peut distinguer les différents types de paquets en fonction de leur teinte individuelle. Cela localise rapidement certains paquets dans un ensemble enregistré par leur couleur de ligne dans le volet de la liste des paquets.

Image
Image

Wireshark est livré avec environ 20 règles de coloration par défaut, chacune pouvant être modifiée, désactivée ou supprimée. Sélectionnez View > Coloring Rules pour un aperçu de la signification de chaque couleur. Vous pouvez également ajouter vos propres filtres basés sur la couleur.

Image
Image

Select View > Colorize Packet List pour activer et désactiver la colorisation des paquets.

Statistiques dans Wireshark

D'autres statistiques utiles sont disponibles dans le menu déroulant Statistiques. Ceux-ci incluent des informations sur la taille et la synchronisation du fichier de capture, ainsi que des dizaines de tableaux et de graphiques allant des pannes de conversation de paquets à la répartition de la charge des requêtes

Image
Image

Les filtres d'affichage peuvent être appliqués à bon nombre de ces statistiques via leurs interfaces, et les résultats peuvent être exportés vers des formats de fichiers courants, notamment CSV, XML et TXT.

Fonctionnalités avancées de Wireshark

Wireshark prend également en charge des fonctionnalités avancées, notamment la possibilité d'écrire des dissecteurs de protocole dans le langage de programmation Lua.

Conseillé: