Pour de nombreux experts informatiques, Wireshark est l’outil de référence pour l’analyse de paquets réseau. Le logiciel open source vous permet d’examiner de près les données collectées et de déterminer la racine du problème avec une précision améliorée. De plus, Wireshark fonctionne en temps réel et utilise un codage couleur pour afficher les paquets capturés, entre autres mécanismes astucieux.

 Comment lire des paquets dans Wireshark

Dans ce tutoriel, nous allons expliquer comment capturer, lire et filtrer des paquets à l’aide de Wireshark. Vous trouverez ci-dessous des instructions étape par étape et des ventilations des fonctions d’analyse de réseau de base. Une fois que vous maîtriserez ces étapes fondamentales, vous pourrez inspecter le flux de trafic de votre réseau et résoudre les problèmes avec plus d’efficacité.

Analyse des paquets

Une fois les paquets capturés, Wireshark les organise dans un volet de liste de paquets détaillé incroyablement facile à lire. Si vous souhaitez accéder aux informations concernant un seul paquet, il vous suffit de le localiser dans la liste et de cliquer. Vous pouvez également développer davantage l’arborescence pour accéder aux détails de chaque protocole contenu dans le paquet.

Pour une vue d’ensemble plus complète, vous pouvez afficher chaque paquet capturé dans une fenêtre séparée. Voici comment:

  1. Sélectionnez le paquet dans la liste avec votre curseur, puis cliquez avec le bouton droit de la souris.
  2. Ouvrez l’onglet « Affichage » dans la barre d’outils ci-dessus.
  3. Sélectionnez « Afficher le paquet dans une nouvelle fenêtre » dans le menu déroulant.

Remarque: Il est beaucoup plus facile de comparer les paquets capturés si vous les affichez dans des fenêtres séparées.

Comme mentionné précédemment, Wireshark utilise un système de codage couleur pour la visualisation des données. Chaque paquet est marqué d’une couleur différente qui représente différents types de trafic. Par exemple, le trafic TCP est généralement surligné en bleu, tandis que le noir est utilisé pour indiquer les paquets contenant des erreurs.

Bien sûr, vous n’avez pas à mémoriser la signification de chaque couleur. Au lieu de cela, vous pouvez vérifier sur place:

  1. Faites un clic droit sur le paquet que vous souhaitez examiner.
  2. Sélectionnez l’onglet « Affichage » dans la barre d’outils en haut de l’écran.
  3. Choisissez « Règles de coloration » dans le panneau déroulant.

Vous verrez la possibilité de personnaliser la colorisation à votre guise. Cependant, si vous souhaitez uniquement modifier temporairement les règles de coloration, procédez comme suit:

  1. Cliquez avec le bouton droit sur le paquet dans le volet liste de paquets.
  2. Dans la liste des options, sélectionnez « Coloriser avec le filtre. »
  3. Choisissez la couleur avec laquelle vous souhaitez l’étiqueter.

Numéro

Le volet liste de paquets vous montrera le nombre exact de bits de données capturés. Comme les paquets sont organisés en plusieurs colonnes, il est assez facile à interpréter. Les catégories par défaut sont:

  • Non. (Nombre): Comme mentionné, vous pouvez trouver le nombre exact de paquets capturés dans cette colonne. Les chiffres resteront les mêmes même après la filtration des données.
  • Heure: Comme vous l’avez peut-être deviné, l’horodatage du paquet est affiché ici.
  • Source: Il indique l’origine du paquet.
  • Destination: Il indique l’endroit où le paquet sera conservé.
  • Protocole: Il affiche le nom du protocole, généralement sous forme d’abréviation.
  • Longueur : Il indique le nombre d’octets contenus dans le paquet capturé.
  • Info : La colonne inclut toutes les informations supplémentaires sur un paquet particulier.

Heure

Lorsque Wireshark analyse le trafic réseau, chaque paquet capturé est horodaté. Les horodatages sont ensuite inclus dans le volet liste de paquets et disponibles pour une inspection ultérieure.

Wireshark ne crée pas les horodatages eux-mêmes. Au lieu de cela, l’outil analyseur les obtient de la bibliothèque Npcap. Cependant, la source de l’horodatage est en fait le noyau. C’est pourquoi la précision de l’horodatage peut varier d’un fichier à l’autre.

Vous pouvez choisir le format dans lequel les horodatages seront affichés dans la liste des paquets. De plus, vous pouvez définir la précision préférée ou le nombre de décimales affichées. Outre le réglage de précision par défaut, il existe également:

  • Secondes
  • Dixièmes de seconde
  • Centièmes de seconde
  • Millisecondes
  • Microsecondes
  • Nanosecondes

Source

Comme son nom l’indique, la source du paquet est le lieu d’origine. Si vous souhaitez obtenir le code source d’un référentiel Wireshark, vous pouvez le télécharger en utilisant un client Git. Cependant, la méthode nécessite que vous ayez un compte GitLab. Il est possible de le faire sans un, mais il vaut mieux s’inscrire au cas où.

Une fois que vous avez enregistré un compte, procédez comme suit:

  1. Assurez-vous que Git est fonctionnel en utilisant cette commande: « $ git -–version.« 
  2. Vérifiez si votre adresse e-mail et votre nom d’utilisateur sont configurés.
  3. Ensuite, créez un clone de la source Workshark. Utilisez l’URL SSH « $ git clone -o upstream :wireshark/wireshark.git » pour effectuer la copie.
  4. Si vous n’avez pas de compte GitLab, essayez l’URL HTTPS: « $ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.« 

Toutes les sources seront ensuite copiées sur votre appareil. Gardez à l’esprit que le clonage peut prendre un certain temps, surtout si vous avez une connexion réseau lente.

Destination

Si vous souhaitez connaître l’adresse IP de la destination d’un paquet particulier, vous pouvez utiliser le filtre d’affichage pour le localiser. Voici comment:

  1. Entrez « ip.addr == 8.8.8.8 » dans la boîte de filtre « Wireshark ». »Ensuite, cliquez sur « Entrée. »
  2. Le volet liste de paquets sera reconfiguré uniquement pour afficher la destination du paquet. Trouvez l’adresse IP qui vous intéresse en faisant défiler la liste.
  3. Une fois que vous avez terminé, sélectionnez « Effacer » dans la barre d’outils pour reconfigurer le volet liste de paquets.

Protocole

Un protocole est une ligne directrice qui détermine la transmission de données entre différents périphériques connectés au même réseau. Chaque paquet Wireshark contient un protocole, et vous pouvez l’afficher en utilisant le filtre d’affichage. Voici comment:

  1. En haut de la fenêtre Wireshark, cliquez sur la boîte de dialogue « Filtrer ».
  2. Entrez le nom du protocole que vous souhaitez examiner. En règle générale, les titres de protocole sont écrits en minuscules.
  3. Cliquez sur « Entrée » ou « Appliquer » pour activer le filtre d’affichage.

Longueur

La longueur d’un paquet Wireshark est déterminée par le nombre d’octets capturés dans cet extrait de réseau particulier. Ce nombre correspond généralement au nombre d’octets de données brutes répertoriés en bas de la fenêtre Wireshark.

Si vous souhaitez examiner la distribution des longueurs, ouvrez la fenêtre « Longueurs de paquets ». Toutes les informations sont divisées dans les colonnes suivantes:

  • Longueurs de paquets
  • Nombre
  • Moyenne
  • Val Min / Val Max
  • Taux
  • Pourcentage
  • Taux de rafale
  • Début de rafale

Info

S’il y a des anomalies ou des éléments similaires dans un paquet capturé particulier, Wireshark le notera. Les informations seront ensuite affichées dans le volet liste de paquets pour un examen plus approfondi. De cette façon, vous aurez une image claire du comportement atypique du réseau, ce qui entraînera des réactions plus rapides.

Faq supplémentaires

Comment puis-je filtrer les données par paquets?

Le filtrage est une fonctionnalité efficace qui vous permet d’examiner les spécificités d’une séquence de données particulière. Il existe deux types de filtres Wireshark: capture et affichage. Les filtres de capture sont là pour restreindre la capture de paquets pour répondre à des demandes spécifiques. En d’autres termes, vous pouvez passer au crible différents types de trafic en appliquant un filtre de capture. Comme leur nom l’indique, les filtres d’affichage vous permettent d’affiner un élément particulier du paquet, de la longueur du paquet au protocole.

L’application d’un filtre est un processus assez simple. Vous pouvez taper le titre du filtre dans la boîte de dialogue en haut de la fenêtre Wireshark. De plus, le logiciel complétera généralement automatiquement le nom du filtre.

Alternativement, si vous souhaitez parcourir les filtres Wireshark par défaut, procédez comme suit :

1. Ouvrez l’onglet « Analyser » dans la barre d’outils en haut de la fenêtre Wireshark.

2. Dans la liste déroulante, sélectionnez « Filtre d’affichage. »

3. Parcourez la liste et cliquez sur celle que vous souhaitez appliquer.

Enfin, voici quelques filtres Wireshark courants qui peuvent être utiles :

• Pour afficher uniquement l’adresse IP source et de destination, utilisez: « ip.src==IP-address and ip.dst==IP-address« 

• Pour afficher uniquement le trafic SMTP, tapez: « tcp.port eq 25« 

• Pour capturer tout le trafic de sous-réseau, appliquez: « net 192.168.0.0/24« 

• Pour capturer tout sauf le trafic ARP et DNS, utilisez: « port not 53 and not arp« 

Comment puis-je capturer les données de paquets dans Wireshark?

Une fois que vous avez téléchargé Wireshark sur votre appareil, vous pouvez commencer à surveiller votre connexion réseau. Pour capturer des paquets de données pour une analyse complète, voici ce que vous devez faire :

1. Lancez Wireshark. Vous verrez une liste des réseaux disponibles, alors cliquez sur celui que vous souhaitez examiner. Vous pouvez également appliquer un filtre de capture si vous souhaitez identifier le type de trafic.

2. Si vous souhaitez inspecter plusieurs réseaux, utilisez le contrôle « maj + clic gauche ».

3. Ensuite, cliquez sur l’icône d’aileron de requin située à l’extrême gauche de la barre d’outils ci-dessus.

4. Vous pouvez également démarrer la capture en cliquant sur l’onglet « Capture » et en sélectionnant « Démarrer » dans la liste déroulante.

5. Une autre façon de le faire est d’utiliser la frappe « Control–E ».

Lorsque le logiciel saisit les données, vous les verrez apparaître dans le volet de liste de paquets en temps réel.

Shark Byte

Alors que Wireshark est un analyseur de réseau très avancé, il est étonnamment facile à interpréter. Le volet de liste de paquets est extrêmement complet et bien organisé. Toutes les informations sont distribuées en sept couleurs différentes et marquées avec des codes de couleur clairs.

De plus, le logiciel open source est livré avec une multitude de filtres facilement applicables qui facilitent la surveillance. En activant un filtre de capture, vous pouvez identifier le type de trafic que vous souhaitez que Wireshark analyse. Et une fois les données saisies, vous pouvez appliquer plusieurs filtres d’affichage pour les recherches spécifiées. Dans l’ensemble, c’est un mécanisme très efficace qui n’est pas trop difficile à maîtriser.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.