Comment utiliser Wireshark pour inspecter le trafic réseau

Wireshark est un analyseur de paquets gratuit et open-source. Il est utilisé pour le dépannage des réseaux, l’analyse, le développement de logiciels et de protocoles de communication. Il vous permet de voir ce qui se passe sur votre réseau à un niveau microscopique et est le standard de facto (et souvent de jure) à travers de nombreuses entreprises commerciales et à but non lucratif, des agences gouvernementales et des institutions éducatives. Wireshark est un outil multiplateforme qui fonctionne sur Linux, Microsoft Windows, macOS, BSD, Solaris et d’autres systèmes d’exploitation de type Unix.

Table des matières

Comment installer Wireshark sous Linux ?

Pour installer Wireshark il suffit de saisir la commande suivante dans votre terminal – sudo apt-get install Wireshark Wireshark sera alors installé et disponible pour être utilisé. Si vous exécutez Wireshark en tant qu’utilisateur non root (ce que vous devriez) à ce stade, vous rencontrerez un message d’erreur qui dit.
« Aucune interface ne peut être utilisée pour la capture dans ce système avec la configuration actuelle ».Les étapes suivantes rectifieront cela.

Créer un groupe Wireshark.

sudo groupadd wireshark 

Ajouter votre nom d’utilisateur au groupe Wireshark –

sudo usermod -a -G wireshark USERNAME 

Changer la propriété du groupe du fichier dumpcap en wireshark –

sudo chgrp wireshark /usr/bin/dumpcap 

Changer le mode du fichier dumpcap pour permettre son exécution par le groupe wireshark –

sudo chmod 750 /usr/bin/dumpcap 

Attribuer des capacités avec setcap –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 

Vérifier le changement –

sudo getcap /usr/bin/dumpcap 

A quoi sert Wireshark ?

Wireshark a une application ou une utilisation assez étendue. Voici quelques exemples de ce à quoi les gens utilisent Wireshark :

  • Les administrateurs de réseaux l’utilisent pour dépanner les problèmes de réseaux
  • Les ingénieurs en sécurité des réseaux l’utilisent pour examiner les problèmes de sécurité
  • Les développeurs l’utilisent pour déboguer les implémentations de protocoles
  • D’autres l’utilisent pour apprendre les internes des protocoles de réseaux

Caractéristiques en un coup d’œil

Voici quelques-unes des nombreuses caractéristiques que Wireshark fournit :

  • Capturer des données de paquets en direct à partir d’une interface réseau.
  • Ouvrir des fichiers contenant des données de paquets capturées avec tcpdump/WinDump, Wireshark, et un certain nombre d’autres programmes de capture de paquets.
  • Importer des paquets à partir de fichiers texte contenant des vidages hexagonaux de données de paquets.
  • Afficher des paquets avec des informations de protocole très détaillées.
  • Enregistrer les données de paquets capturées.
  • Exporter certains ou tous les paquets dans un certain nombre de formats de fichiers de capture.
  • Filtrez les paquets sur de nombreux critères.
  • Recherchez les paquets sur de nombreux critères.
  • Colorisez l’affichage des paquets en fonction des filtres.
  • Créez diverses statistiques.

Comment utiliser Wireshark pour inspecter les paquets réseau sous Linux ?

Capture de paquets

Après avoir téléchargé et installé Wireshark, vous pouvez le lancer et cliquer sur le nom d’une interface sous Liste des interfaces pour commencer à capturer des paquets sur cette interface. Par exemple, si vous voulez capturer le trafic sur le réseau sans fil, cliquez sur votre interface sans fil. Vous pouvez configurer des fonctionnalités avancées en cliquant sur Options de capture.

Dès que vous cliquez sur le nom de l’interface, vous verrez les paquets commencer à apparaître en temps réel. Wireshark capture chaque paquet envoyé vers ou depuis votre système. Si vous capturez sur une interface sans fil et que le mode promiscuous est activé dans vos options de capture, vous verrez également les autres paquets sur le réseau.

Codage couleur

Vous verrez probablement des paquets mis en évidence en vert, bleu et noir. Wireshark utilise des couleurs pour vous aider à identifier les types de trafic d’un coup d’œil. Par défaut, le vert correspond au trafic TCP, le bleu foncé au trafic DNS, le bleu clair au trafic UDP et le noir identifie les paquets TCP présentant des problèmes – par exemple, ils pourraient avoir été livrés hors de l’ordre.

Conclusion

Comme je l’ai mentionné précédemment, Wireshark est disponible sur toutes les plateformes, mais aucune de ces autres plateformes n’a la parité de fonctionnalités de Linux.

Wireshark est un outil extrêmement puissant, et ce tutoriel ne fait qu’effleurer la surface de ce que vous pouvez faire avec lui. Les professionnels l’utilisent pour déboguer les implémentations de protocoles réseau, examiner les problèmes de sécurité et inspecter les internes des protocoles réseau. Consultez cette DOCUMENTATION officielle pour en savoir plus sur ce que vous pouvez faire avec Wireshark.


L’hébergement LinuxAndUbuntu est sponsorisé par massiveGRID

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.