Comment Utiliser Wireshark Pour Capturer, Filtrer Et Inspecter Les Paquets?

Untitled design3

Wireshark est un outil d’analyse du réseau anciennement connu sous le nom d’Ethereal, capture les paquets en temps réel et les affiche dans un format lisible par l’homme. Il inclut des filtres, un codage couleur et d’autres fonctionnalités qui vous permettent de creuser profondément dans le trafic réseau et d’inspecter les paquets individuels.

Pourquoi utiliser Wireshark?

Voici les raisons pourquoi les gens utilisent Wireshark :

  • Résoudre les problèmes de réseau
  • Examiner les problèmes de sécurité
  • Vérifier les applications réseau
  • Déboguer les implémentations de protocole
  • Apprendre les rouages ​​du protocole réseau

 

Ce tutoriel vous aidera à comprendre les bases de la capture de paquets, de leur filtrage et de leur inspection. Vous pouvez utiliser Wireshark pour inspecter le trafic réseau d’un programme suspect, analyser le flux de trafic sur votre réseau ou résoudre des problèmes liés à votre réseau.et si vous voulez savoir plus sur comment exploiter votre réseau, vous pouvez consulter notre article sur le sujet.

WireShark Utilitaire de Capture, filtrage et inspection des Paquets

Comment utiliser wireshark?

En résumé, voila les étapes qu’il faut suivre pour utiliser Wireshark:

  1. Télécharger Wireshark.
  2. Ouvrez votre navigateur Internet.
  3. Videz le cache de votre navigateur.
  4. Ouvrir Wireshark
  5. Cliquez sur “Capturer > Interfaces”. Une fenêtre contextuelle s’affichera.
  6. Vous allez capturer le trafic qui passe par votre pilote Ethernet. Cliquez sur le bouton Démarrer pour capturer le trafic via cette interface.
  7. Visitez l’URL à partir de laquelle vous voulez capturer le trafic.
  8. Revenez à votre écran Wireshark et appuyez sur Ctrl + E pour arrêter la capture.
  9. Une fois la capture du trafic arrêtée, veuillez enregistrer le trafic capturé dans un fichier au format *.pcap et le joindre à votre ticket d’assistance.

Obtenir Wireshark

Vous pouvez le télécharger pour Windows ou mac OS depuis le site officiel de Wireshark. Si vous utilisez Linux ou un autre système de type UNIX, vous trouverez probablement Wireshark dans ses dépôts de paquets. Par exemple, si vous utilisez Ubuntu, vous trouverez Wireshark dans l’Ubuntu Software Center.

Avertissement! Beaucoup d’organisations n’autorisent pas Wireshark et les outils similaires sur leurs réseaux. N’utilisez pas cet outil au travail sans autorisation.

Capturer Les Paquets

Après avoir téléchargé et installé Wireshark, vous pouvez le lancer et double-cliquer sur le nom de l’interface réseau (network interface) sous Capture pour commencer à capturer les paquets sur cette interface. Par exemple, si vous souhaitez capturer du trafic sur votre réseau sans fil, cliquez sur votre interface sans fil (Wi-Fi). Vous pouvez configurer les fonctionnalités avancées en cliquant sur Capture> Options, mais ce n’est pas nécessaire pour le moment.

WireShark - Capturer les Paquets

Dès que vous cliquez sur le nom de l’interface, les paquets commencent à apparaître en temps réel. Wireshark capture chaque paquet envoyé vers ou depuis votre système.

Si le mode Promiscuous est activé (promiscuous mode) —il est activé par défaut— tous les autres paquets du réseau sont également affichés au lieu de seulement les paquets adressés à votre carte réseau. Pour vérifier si le mode promiscuous (promiscuous mode) est activé, cliquez sur Capture> Options et vérifiez que la case à cocher “Activer le mode promiscuous sur toutes les interfaces” (Enable promiscuous mode on all interfaces) est activée au bas de cette fenêtre

WireShark - mode Promiscuous

Cliquez sur le bouton rouge “Stop” près du coin supérieur gauche de la fenêtre lorsque vous souhaitez arrêter la capture du trafic.

Wireshark - Stopper la Capture

Codes De Couleurs

Vous verrez probablement les paquets mis en évidence dans une variété de couleurs différentes. Wireshark utilise des couleurs pour vous aider à identifier les types de trafic en un coup d’œil. Par défaut, violet clair est le trafic TCP, bleu clair est le trafic UDP et noir identifie les paquets avec des erreurs, par exemple, ils pourraient avoir été livrés dans le désordre.

Pour voir exactement ce que signifient les codes de couleur, cliquez sur Affichage> Règles de coloration (View > Coloring Rules). Vous pouvez également y personnaliser et modifier les règles de coloration si vous le souhaitez.

WireShark - Codes De Couleurs

Exemples de captures

S’il n’y a rien d’intéressant à inspecter sur votre propre réseau, le wiki de Wireshark vous a couvert. Le wiki contient une page d’exemples de fichiers de capture que vous pouvez charger et inspecter. Cliquez sur Fichier> Ouvrir (File > Open) dans Wireshark et recherchez votre fichier téléchargé pour en ouvrir un.

Vous pouvez également sauvegarder vos propres captures dans Wireshark et les ouvrir plus tard. Cliquez sur Fichier> Enregistrer (File > Save) pour enregistrer vos paquets capturés.

Whireshark - Exemples de Captures

Filtrage des paquets

Si vous essayez d’inspecter quelque chose de spécifique, comme le trafic qu’un programme envoie en téléphonant à la maison, cela permet de fermer toutes les autres applications utilisant le réseau afin que vous puissiez restreindre le trafic. Cependant, vous aurez probablement une grande quantité de paquets à passer au crible. C’est là que les filtres de Wireshark entrent en jeu.

La manière la plus simple d’appliquer un filtre consiste à le saisir dans la zone de filtre en haut de la fenêtre et à cliquer sur Appliquer Apply (ou sur Entrée). Par exemple, tapez “dns” et vous verrez uniquement les paquets DNS. Lorsque vous commencez à taper, Wireshark vous aidera à compléter automatiquement votre filtre.

Wire - Filtrage des paquets

Vous pouvez également cliquer sur Analyser> Afficher les filtres (Analyze > Display Filters) pour choisir un filtre parmi les filtres par défaut inclus dans Wireshark. De là, vous pouvez ajouter vos propres filtres personnalisés et les enregistrer pour y accéder facilement à l’avenir.

Pour plus d’informations sur le langage de filtrage d’affichage Wireshark, consultez la page Créer des expressions de filtre d’affichage dans la documentation officielle de Wireshark.

WireShark - Créer des expressions de filtre d'affichage

Une autre chose intéressante que vous pouvez faire est de cliquer avec le bouton droit sur un paquet et de sélectionner Suivre> Flux TCP (Follow > TCP Stream).

Vous verrez la conversation TCP complète entre le client et le serveur. Vous pouvez également cliquer sur d’autres protocoles dans le menu Suivre (Follow) pour voir les conversations complètes pour d’autres protocoles, le cas échéant.

WireShark - Voir Les Conversations Complètes

Fermez la fenêtre et vous constaterez qu’un filtre a été appliqué automatiquement. Wireshark vous montre les paquets qui composent la conversation.

WireShark - Appliquation Automatique Du Filtre

Inspection des paquets

Cliquez sur un paquet pour le sélectionner et vous pouvez creuser pour voir ses détails.

WireShark - Inspection des paquets

Vous pouvez également créer des filtres à partir d’ici – cliquez avec le bouton droit sur l’un des détails et utilisez le sous-menu Appliquer (Apply) en tant que filtre pour créer un filtre basé sur celui-ci.

WireShark - Création de Filtre

Wireshark est un outil extrêmement puissant, et ce tutoriel ne fait que gratter la surface de ce que vous pouvez faire avec. Les professionnels l’utilisent pour déboguer les implémentations de protocole réseau, examiner les problèmes de sécurité et inspecter les composants internes du protocole réseau.

Vous pouvez trouver des informations plus détaillées dans le Guide de l’utilisateur officiel de Wireshark et les autres pages de documentation sur le site Web de Wireshark.

ARTICLES CONNEXESPLUS DE L'AUTEUR

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.