Vous êtes sur la page 1sur 8

Sniffer rseau : Tutorial Ethereal

Voici un tutorial concernant un sniffer rseau bien connu et surtout gratuit. Nous allons
prendre XP comme systme dexploitation.
Ce tutorial se divise donc en 5 parties:
1. Linstallation dEthereal sur XP (ou 98/ME/2000)
2. Premier pas avec Ethereal
3. Comment capturer les trames sur le rseau
4. Comment dfinir un filtre pour la capture des trames
5. Comment dfinir un filtre pour la visualisation des trames

Le but de ce tutorial nest pas de reprendre le guide de lutilisateur dethereal mais plutt den
faire un rsum. En effet lutilisateur dsireux daller loin pourra se rfrer celui-ci.

1. Linstallation dEthereal sur XP
Linstallation sous XP est assez simple : dans un premier temps vous devez installer le
"package" WinPcap, puis dans un deuxime temps le package Ethereal.

1.1 Installation du package WinPcap
Vous pouvez tlcharger WinPcap partir du lien suivant : WinpCap
Prenez le fichier WinPcap_3_0.exe et installez le. Cest tres simple (next, next...)
En thorie il ny a pas besoin de redmarrer la machine.

1.2 Installation dEthereal
Vous pouvez tlcharger Ethereal partir lien suivant: Ethereal
Prenez le fichier ethereal-setup-0.10.4.exe et installez le. Cest toujours trs simple (next, I
agree, Install)
Ici non plus pas besoin de redmarrer votre machine mais je vous conseille de le faire tout de
mme !

Voila votre sniffer rseau est install. Un problme lors de linstallation ? Utilisez le forum.

2. Premier pas avec Ethereal
Dmarrez lapplication Ethereal. Crez un raccourci sur votre bureau il vous sera bien utile.
Voila comment le sniffer se prsente.

La fentre est divise en trois parties.
La premire partie est de type gnral, on y trouve des informations de type adresse IP des
machines ou encore protocole utilis lors de lchange des donnes.
La deuxime partie de la fentre reprend ici la trame slectionne et la dtaille soit dans les
sept couches du modles OSI ou dans les quatre couches du modle IP. Pour plus
dinformations ce sujet des tutoriaux sont disponibles sur le net.
La troisime et dernire partie est une vision de la trame en codage hexadcimal.

Nous allons voir maintenant comment capturer les trames sur le rseau sur lequel le sniffer est
connect.

3. Comment capturer les trames sur le rseau
Allez dans le menu Capture et cliquez sur Start.
La fentre suivante souvre.




Choisissez linterface sur laquelle vous voulez couter. Si vous en avez quune le choix ne
sera pas trs difficile .
Par dfaut lespace rserv la collecte des donnes est dfini 1MB. Cela devrait tre
suffisant. Dans le cas contraire augmentez le.
Activer loption Capture packets in promiscuous mode. En fait cette option permet la
carte rseau de lire et dintercepter tout le trafic sur le rseau. Dans le cas contraire celle-ci
ninterceptera que les trames qui lui sont destines et ainsi vous ne verrez pas toutes les
trames Multicast et Broadcast.
Laissez le champ Capture Filter vide dans un premier temps. Nous verrons par la suite
comment le remplir.
Nous ne toucherons pas non plus aux autres options.

Il ne vous reste plus qu dmarrer la capture en cliquant sur OK.
La fentre suivante souvre.





Nous prendrons ici une capture de 30 secondes. Cliquez sur Stop. Ethereal va alors afficher
les trames vues par la carte rseau dans un format lisible.





Sur la premire partie de cette fentre les diffrentes trames captures saffichent et suivant
les colonnes nous avons les informations suivantes :

Premire colonne : numro de la trame.
Deuxime colonne : temps coul depuis le dpart de la capture et larrive de la trame.
Troisime colonne : adresse IP ou nom de la machine mettrice
Quatrime colonne : adresse IP ou nom de la machine rceptrice
Cinquime colonne : protocole utilis entre les deux machines
Sixime colonne : informations complmentaires

La quantit de donnes captures peut vite devenir considrable, dautant plus que plusieurs
communications peuvent tres tablies en parallle comme par exemple une connexion
www.google.fr .
Cest pourquoi nous allons voir comment dfinir un filtre pour capturer une partie de tout ce
que voit la carte rseau.

4. Comment dfinir un filtre pour la capture des trames ( Capture Filter)
Allez dans le menu "Capture". Puis cliquez sur "Capture Filters".
La fentre suivante souvre.





Considrons que notre machine ai ladresse IP 192.168.1.33 .
Nous voulons capturer uniquement les trames changes entre celle-ci et la machine avec
ladresse IP 145.200.80.45.
Pour cela cliquez sur "New".
Dans le champ "Filter Name" entrez le nom de votre filtre : mon filtre (par exemple).
Dans le champ "Filter string" entrez la chane suivante : host 145.200.80.45
Cliquez maintenant sur "save" et voil votre filtre est dfini vous pouvez cliquez sur "close"
pour fermer la fentre.

Retournez dans le menu "Capture" et cliquez sur "Start"
Reprenez les mmes options que prcdemment.
Cliquez sur le bouton "Capture Filter" et slectionnez votre filtre.
Voil cliquez sur "OK" pour dmarrer la capture avec le filtre en question.

Pour plus de dtail sur la structure des filtres vous pouvez consulter laide en appuyant sur la
touche F1 et en allant sur longlet "Capture Filter"

Une autre mthode consiste capturer toutes les trames dans un premier temps et de filtrer par
la suite. Lavantage de cette solution est davoir toujours la capture de dpart et dy appliquer
par la suite autant de filtres que lon souhaite. Cest ce que nous allons voir dans le prochain
chapitre.

5. Comment dfinir un filtre pour la visualisation des trames (Display Filter)
Essayons dappliquer le mme filtre que prcdemment. Dans un premier temps faites une
capture sans appliquer de filtre (reportez vous au premier paragraphe).
Stoppez la capture. Allez dans le menu "Analyze" et cliquez sur "Display Filters".





L vous cliquez sur "New". Dans le champ "Filter Name" entrez le nom de votre filtre : notre
filtre (par exemple).
Dans le champ "Filter string" entrez la chane suivante : ip.addr==145.200.80.45 et cliquez
sur "Apply". Voil le filtre est appliquez. Si vous voulez le sauvegarder cliquez sur "Save".
Si maintenant vous voulez lannuler, effacez la chane dans le champ "Filter string" et cliquez
de nouveau sur "Apply".

Il existe galement une barre "Filter" que vous pouvez activer en allant dans le menu "View"
et en cliquant sur "Filter Toolbar". Remplissez le champ "Filter" de la mme faon que
prcdemment et cliquez sur "Apply".

Pour revenir la capture initiale effacez le champ "Filter".