Ce qu'il faut savoir
- Wireshark est une application open source qui capture et affiche les données circulant sur un réseau.
- Parce qu'il peut explorer et lire le contenu de chaque paquet, il est utilisé pour résoudre les problèmes de réseau et tester les logiciels.
Les instructions de cet article s'appliquent à Wireshark 3.0.3 pour Windows et Mac.
Bottom Line
Initialement connu sous le nom d'Ethereal, Wireshark affiche les données de centaines de protocoles différents sur tous les principaux types de réseaux. Les paquets de données peuvent être visualisés en temps réel ou analysés hors ligne. Wireshark prend en charge des dizaines de formats de fichiers de capture/trace, y compris CAP et ERF. Les outils de décryptage intégrés affichent les paquets cryptés pour plusieurs protocoles courants, notamment WEP et WPA/WPA2.
Comment télécharger et installer Wireshark
Wireshark peut être téléchargé gratuitement sur le site Web de la Wireshark Foundation pour macOS et Windows. Vous verrez la dernière version stable et la version de développement actuelle. Sauf si vous êtes un utilisateur avancé, téléchargez la version stable.
Pendant le processus d'installation de Windows, choisissez d'installer WinPcap ou Npcap si vous y êtes invité car ceux-ci incluent les bibliothèques requises pour la capture de données en direct.
Vous devez être connecté à l'appareil en tant qu'administrateur pour utiliser Wireshark. Sous Windows 10, recherchez Wireshark et sélectionnez Exécuter en tant qu'administrateur Sous macOS, cliquez avec le bouton droit sur l'icône de l'application et sélectionnez Get InfoDans les paramètres Sharing & Permissions, accordez à l'administrateur les privilèges Read & Write.
L'application est également disponible pour Linux et d'autres plates-formes de type UNIX, notamment Red Hat, Solaris et FreeBSD. Les fichiers binaires requis pour ces systèmes d'exploitation se trouvent au bas de la page de téléchargement de Wireshark dans la section Third-Party Packages. Vous pouvez également télécharger le code source de Wireshark à partir de cette page.
Comment capturer des paquets de données avec Wireshark
Lorsque vous lancez Wireshark, un écran de bienvenue répertorie les connexions réseau disponibles sur votre appareil actuel. À droite de chacun se trouve un graphique linéaire de style ECG qui représente le trafic en direct sur ce réseau.
Pour commencer à capturer des paquets avec Wireshark:
-
Sélectionnez un ou plusieurs réseaux, accédez à la barre de menus, puis sélectionnez Capture.
Pour sélectionner plusieurs réseaux, maintenez la touche Shift pendant que vous faites votre sélection.
-
Dans la fenêtre Wireshark Capture Interfaces, sélectionnez Start.
Il existe d'autres moyens de lancer la capture de paquets. Sélectionnez aileron de requin sur le côté gauche de la barre d'outils Wireshark, appuyez sur Ctrl+E ou double-cliquez sur le réseau.
-
Select File > Save As ou choisissez une option Export pour enregistrer la capture.
-
Pour arrêter la capture, appuyez sur Ctrl+E. Ou, allez dans la barre d'outils Wireshark et sélectionnez le bouton rouge Stop situé à côté de l'aileron de requin.
Comment afficher et analyser le contenu des paquets
L'interface de données capturées contient trois sections principales:
- Le volet de la liste des paquets (la section du haut)
- Le volet des détails du paquet (la section du milieu)
- Le panneau des octets de paquets (la section inférieure)
Liste de paquets
Le volet de la liste des paquets, situé en haut de la fenêtre, affiche tous les paquets trouvés dans le fichier de capture actif. Chaque paquet a sa propre ligne et son numéro correspondant, ainsi que chacun de ces points de données:
- No: ce champ indique quels paquets font partie de la même conversation. Il reste vide jusqu'à ce que vous sélectionniez un paquet.
- Time: L'horodatage du moment où le paquet a été capturé est affiché dans cette colonne. Le format par défaut est le nombre de secondes ou de secondes partielles depuis la création de ce fichier de capture spécifique.
- Source: Cette colonne contient l'adresse (IP ou autre) d'où provient le paquet.
- Destination: Cette colonne contient l'adresse à laquelle le paquet est envoyé.
- Protocole: Le nom du protocole du paquet, tel que TCP, peut être trouvé dans cette colonne.
- Length: La longueur du paquet, en octets, est affichée dans cette colonne.
- Info: Des détails supplémentaires sur le paquet sont présentés ici. Le contenu de cette colonne peut varier considérablement en fonction du contenu du paquet.
Pour changer le format de l'heure en quelque chose de plus utile (comme l'heure réelle de la journée), sélectionnez View > Time Display Format.
Lorsqu'un paquet est sélectionné dans le volet supérieur, vous remarquerez peut-être qu'un ou plusieurs symboles apparaissent dans la colonne No.. Des parenthèses ouvertes ou fermées et une ligne horizontale droite indiquent si un paquet ou un groupe de paquets fait partie de la même conversation aller-retour sur le réseau. Une ligne horizontale discontinue signifie qu'un paquet ne fait pas partie de la conversation.
Détails du paquet
Le volet de détails, situé au milieu, présente les protocoles et les champs de protocole du paquet sélectionné dans un format pliable. En plus d'étendre chaque sélection, vous pouvez appliquer des filtres Wireshark individuels en fonction de détails spécifiques et suivre des flux de données en fonction du type de protocole en cliquant avec le bouton droit sur l'élément souhaité.
Octets de paquet
En bas se trouve le volet des octets de paquet, qui affiche les données brutes du paquet sélectionné dans une vue hexadécimale. Ce vidage hexadécimal contient 16 octets hexadécimaux et 16 octets ASCII à côté du décalage de données.
La sélection d'une partie spécifique de ces données met automatiquement en surbrillance la section correspondante dans le volet des détails du paquet et vice versa. Tous les octets qui ne peuvent pas être imprimés sont représentés par un point.
Pour afficher ces données au format binaire plutôt qu'hexadécimal, faites un clic droit n'importe où dans le volet et sélectionnez as bits.
Comment utiliser les filtres Wireshark
Les filtres de capture indiquent à Wireshark de n'enregistrer que les paquets qui répondent aux critères spécifiés. Des filtres peuvent également être appliqués à un fichier de capture qui a été créé afin que seuls certains paquets soient affichés. Ceux-ci sont appelés filtres d'affichage.
Wireshark fournit un grand nombre de filtres prédéfinis par défaut. Pour utiliser l'un de ces filtres existants, saisissez son nom dans le champ de saisie Apply a display filter situé sous la barre d'outils Wireshark ou dans le champ Enter a capture filterchamp situé au centre de l'écran d'accueil.
Par exemple, si vous souhaitez afficher les paquets TCP, tapez tcp. La fonction de saisie semi-automatique de Wireshark affiche les noms suggérés lorsque vous commencez à taper, ce qui facilite la recherche du surnom correct pour le filtre que vous recherchez.
Une autre façon de choisir un filtre est de sélectionner le signet sur le côté gauche du champ de saisie. Choisissez Manage Filter Expressions ou Manage Display Filters pour ajouter, supprimer ou modifier des filtres.
Vous pouvez également accéder aux filtres précédemment utilisés en sélectionnant la flèche vers le bas sur le côté droit du champ de saisie pour afficher une liste déroulante d'historique.
Les filtres de capture sont appliqués dès que vous commencez à enregistrer le trafic réseau. Pour appliquer un filtre d'affichage, sélectionnez la flèche vers la droite à droite du champ de saisie.
Règles de couleur Wireshark
Alors que les filtres de capture et d'affichage de Wireshark limitent les paquets enregistrés ou affichés à l'écran, sa fonction de colorisation va encore plus loin: elle peut distinguer les différents types de paquets en fonction de leur teinte individuelle. Cela localise rapidement certains paquets dans un ensemble enregistré par leur couleur de ligne dans le volet de la liste des paquets.
Wireshark est livré avec environ 20 règles de coloration par défaut, chacune pouvant être modifiée, désactivée ou supprimée. Sélectionnez View > Coloring Rules pour un aperçu de la signification de chaque couleur. Vous pouvez également ajouter vos propres filtres basés sur la couleur.
Select View > Colorize Packet List pour activer et désactiver la colorisation des paquets.
Statistiques dans Wireshark
D'autres statistiques utiles sont disponibles dans le menu déroulant Statistiques. Ceux-ci incluent des informations sur la taille et la synchronisation du fichier de capture, ainsi que des dizaines de tableaux et de graphiques allant des pannes de conversation de paquets à la répartition de la charge des requêtes
Les filtres d'affichage peuvent être appliqués à bon nombre de ces statistiques via leurs interfaces, et les résultats peuvent être exportés vers des formats de fichiers courants, notamment CSV, XML et TXT.
Fonctionnalités avancées de Wireshark
Wireshark prend également en charge des fonctionnalités avancées, notamment la possibilité d'écrire des dissecteurs de protocole dans le langage de programmation Lua.