Comment utiliser Wireshark pour capturer, filtrer et inspecter des paquets ?
Comment puis-je utiliser Wireshark pour capturer, filtrer et inspecter des paquets sur mon réseau local ?
Wireshark est un outil d'analyse de réseau anciennement connu sous le nom d'Ethereal. Il permet la capture des paquets en temps réel sur le réseau. Wireshark inclut des filtres, un codage couleur et d'autres fonctionnalités qui vous permettent d'analyser le trafic réseau et d'inspecter les paquets.
Où télécharger Wireshark ?
Vous pouvez télécharger Wireshark pour Windows ou macOS depuis le site officiel. Si vous utilisez Linux ou un autre système de type UNIX, vous trouverez probablement Wireshark dans ses dépôts de paquets. Par exemple, si vous utilisez Ubuntu, vous trouverez Wireshark dans le Ubuntu Software Center.
Remarque : Beaucoup d'organisations n'autorisent pas Wireshark et les outils similaires sur leurs réseaux. N'utilisez pas cet outil au travail sans autorisation.
Comment capturer des paquets avec Wireshark ?
Après avoir téléchargé et installé Wireshark, vous pouvez le lancer et double-cliquer sur le nom d'une interface réseau sous Capture pour commencer à capturer des paquets sur cette interface. Par exemple, si vous souhaitez capturer du trafic sur votre réseau Ethernet, cliquez sur votre interface réseau.
Remarque : Vous pouvez aussi configurer des fonctionnalités avancées en cliquant sur Capture puis Options.
Dès que vous cliquez sur le nom de l'interface, les paquets commencent à apparaître en temps réel. Wireshark capture chaque paquet envoyé vers ou depuis votre système.
Si le mode Promiscuous est activé, tous les autres paquets du réseau sont également affichés au lieu de seulement les paquets adressés à votre carte réseau. Pour vérifier si le mode promiscuous est activé, cliquez sur Capturer puis Options et vérifiez que la case à cocher Activer le mode promiscuité sur toutes les interfaces est activée au bas de cette fenêtre.
Cliquez sur le bouton rouge Stop près du coin supérieur gauche de la fenêtre lorsque vous souhaitez arrêter la capture du trafic.
Comment fonctionne les codes de couleurs de Wireshark ?
Vous verrez probablement les paquets mis en évidence avec une variété de couleurs différentes. Wireshark utilise des couleurs pour vous aider à identifier les types de trafic en un coup d'œil. Par défaut, violet clair est le trafic TCP, bleu clair est le trafic UDP et noir identifie les paquets avec des erreurs.
Pour voir exactement ce que signifient les codes de couleur, cliquez sur Vue puis Règles de coloration. Vous pouvez personnaliser et modifier les règles de coloration si vous le souhaitez.
Comment filtrer des paquets avec Wireshark ?
Si vous essayez d'inspecter quelque chose de spécifique, comme le trafic qu'un programme envoie, vous aurez probablement une grande quantité de paquets à passer au crible. C'est là que les filtres de Wireshark entrent en jeu.
La manière la plus simple d'appliquer un filtre consiste à le saisir dans la zone de filtre en haut de la fenêtre et d'appuyer sur Entrée. Par exemple, tapez "dns" et vous verrez uniquement les paquets DNS.
Astuce : Vous pouvez également cliquer sur Analyser puis Filtres d'affichage pour choisir un filtre parmi les filtres par défaut inclus dans Wireshark. De là, vous pouvez ajouter vos propres filtres personnalisés et les enregistrer pour y accéder facilement à l'avenir.
Pour plus d'informations sur le langage de filtrage d'affichage de Wireshark, consultez la page du wiki de Wireshark.
Remarque : Une autre chose intéressante que vous pouvez faire est de cliquer avec le bouton droit sur un paquet et de sélectionner Suivre puis Flux TCP ou Flux UDP.
Vous verrez la conversation TCP complète entre le client et le serveur. Vous pouvez également cliquer sur d'autres protocoles dans le menu Suivre pour voir les conversations complètes pour d'autres protocoles, le cas échéant.
Fermez la fenêtre et vous constaterez qu'un filtre a été appliqué automatiquement. Wireshark vous montre les paquets qui composent la conversation.
Comment inspecter des paquets avec Wireshark ?
Double-cliquez sur un paquet pour le sélectionner et voir ses détails.
Wireshark est un outil extrêmement puissant, et ce tutoriel ne fait que survoler tout ce que vous pouvez faire avec. Les professionnels l'utilisent pour déboguer des implémentations de protocole réseau, examiner des problèmes de sécurité et inspecter des flix de données selon plusieurs critères et protocoles réseau.
Vous pouvez trouver des informations plus détaillées dans le Guide utilisateur officiel de Wireshark et les autres pages de documentation sur le site Web de Wireshark.