Vous êtes sur la page 1sur 14

Architectures

Rseaux Tlcoms

Manuel :
Analyseur rseau Wireshark

Cration :
28/12/2006 15:20:00
Mise jour :
04/05/200707 09:52:00 AM

Auteur :
David ROUMANET

1.SOMMAIRE
1. SOMMAIRE...................................................................................................................................1
2. OBJET...........................................................................................................................................2
3. CAPTURE......................................................................................................................................3
3.1 EDITION DES PRFRENCES............................................................................................................................................... 3
3.2 CHOISIR LES PARAMTRES DE CAPTURE...............................................................................................................................4
3.2.1 Limitation de la taille des paquets..................................................................................................................... 5
3.2.2 Arrt automatique sur seuil................................................................................................................................5
3.2.3 Captures circulaires........................................................................................................................................... 5
3.2.4 Filtres de capture............................................................................................................................................... 6
3.3 STATISTIQUES INSTANTANES DE CAPTURE...........................................................................................................................7
4. ANALYSES....................................................................................................................................8
4.1 LECTURE DES TRAMES..................................................................................................................................................... 8
4.1.1 Fentre de rsum.............................................................................................................................................. 8
4.1.2 Fentre darborescence de protocole................................................................................................................ 8
4.1.3 Fentre de vue des donnes................................................................................................................................9
4.2 ANALYSE RAPIDE............................................................................................................................................................ 9
4.2.1 Expert Info Composite........................................................................................................................................9
4.3 ANALYSE NORMALE.......................................................................................................................................................11
4.3.1 Informations sur la capture..............................................................................................................................11
4.3.2 Rpartition des protocoles............................................................................................................................... 11
4.3.3 Rpartition des tailles de paquets.................................................................................................................... 12
4.3.4 Conversations...................................................................................................................................................13

Page : 1/14

Analyseur rseau Wireshark

2.OBJET
Le logiciel Wireshark (anciennement Ethereal) permet la capture et lanalyse de trames sur
Ethernet.
Son utilit est indniable pour contrler le bon fonctionnement de rseau ou vrifier les trames
transitant sur une interface dun commutateur ou analyser les trafics inutiles ou ceux impactant les
performances du rseau.
Voici un petit rcapitulatif des capacits de Wireshark :
Dcoder les trames (niveau 2 et 3)
Calculer le dbit moyen sur la dure de la capture (Mbps)
Tracer un graphe du trafic pour tout ou partie des flux capturs
Afficher les temps de rponses des trames TCP (bas sur les acquittements)
Indiquer les erreurs ou les alertes dtectes (paquets perdus, retransmis, dupliqus)
Suivre un dialogue TCP (notamment HTTP)
Donner les statistiques sur les tailles des trames rseaux
Etc.
Pour cela, il suffit de linstaller sur un PC munit dune interface rseau 100 Mbps ou plus et
fonctionnant sous Windows ou Linux. La version dcrite ici fonctionne sous Windows XP.
Il sagit de la version 0.99.4.
Rcuprer la dernire version du programme sur le site http://www.wireshark.org/
Suivre les instructions dinstallation (en particulier linstallation de WinPCAP sil nest pas dj
install sur le poste).
Une fois linstallation termin, le poste devient une sonde rseau prte fonctionner.

Mise jour du dd/05/yy

Page : 2/14

Analyseur rseau Wireshark

3.CAPTURE
La premire opration est la capture de trames. Cependant il y a plusieurs cas possibles :
Capture en temps rel de manire manuelle (lutilisateur dmarre et arrte la capture)
Capture avec limitations automatiques (dans le temps ou sur la taille)
Capture sur une priode donne avec rotation (utilisation dun buffer circulaire)
Dautre part, il peut-tre utile de limiter les donnes captures celles qui sont en cause lors de
lanalyse :
Filtrage par protocoles
Filtrage par adresses
Limitation de la taille des paquets capturs

3.1Edition des prfrences


Ldition des prfrences permet de choisir lapparence de Wireshark mais aussi de choisir
linterface de capture utiliser :

Mise jour du dd/05/yy

Page : 3/14

Analyseur rseau Wireshark

Une fois les prfrences modifies, il est possible de procder notre premire capture.

3.2Choisir les paramtres de capture


Pour faire une capture manuelle, il suffit de cliquer sur licne Start a new live capture ou dans
le menu, choisir [Capture] [Start] il suffira ensuite darrter la capture en cliquant sur licne sa
droite.

Cette option est intressante pour tester le trafic et dterminer la quantit dinformations passant
sur linterface, cependant il est prfrable de faire une capture automatis.
Attention : la capture de trames sur un commutateur ne permet pas de voir tout le trafic mais
seulement celui destination du port ou se trouve la sonde. En gnral, le seul trafic visible est
constitu de broadcast (Ethernet, TCP/IP, Netbios, IPX)
Pour analyser le trafic utile en provenance ou destination dun quipement particulier, il est
ncessaire dactiver une fonction de mirroring ou monitoring. Consulter la documentation du
fabricant du commutateur pour plus dinformations. En dernier recours, il peut-tre ncessaire
dintercaler un rpteur (hub) entre lquipement et la sonde.

Pour faire une capture automatise, il faut cliquer sur licne Show capture options ou dans
le menu, choisir [Capture] [Options] ou encore utiliser le raccourci-clavier [CTRL+K]

Mise jour du dd/05/yy

Page : 4/14

Analyseur rseau Wireshark


Par dfaut, linterface prsente la plupart des options en grises car elles ne sont pas actives :

Il est primordial que la capture se fasse en mode promiscuous . Dautre part, si le poste nest
pas trs puissant, il est prfrable de dsactiver la case Update list of packets in real time .
3.2.1Limitation de la taille des paquets
Lanalyse des trames se faisant gnralement sur les premiers octets (les enttes), il est utile de
limiter la taille des paquets capturs une taille maximum : pour cela, il suffit de cocher la case
Limit each packet to et de choisir un nombre entre 68 octets (entte TCP) et 132 (informations
complmentaires pour des flux HTTP ou TNS par exemple).
Cela na aucune influence sur les statistiques concernant les tailles de trames puisque cette
information est inscrite dans lentte des trames Ethernet.
3.2.2Arrt automatique sur seuil
Il est possible de limiter la capture sur 3 critres : nombre de paquets, taille de la capture et dlai
dans le temps. Ces trois critres peuvent tre combins. Cet arrt automatique permet de limiter
le travail danalyse plus tard et de ne pas craser un vnement important.
3.2.3Captures circulaires
Cest le mode le plus intressant, surtout si la sonde dispose dun espace disque suffisant. En
effet, les problmes rseaux sont souvents fugitifs et lorsque un incident survient, le temps
dactiver une capture ne permet pas de trouver lorigine du problme. Dun autre cot, une capture
Mise jour du dd/05/yy

Page : 5/14

Analyseur rseau Wireshark


linaire permet de remonter dans lhistorique des trames captures mais la manipulation dun
fichier unique et souvent de taille imposante et difficile. La capture circulaire rsout ces
problmes :

Dans lexemple ci-dessus, Wireshark va crer 24 fichiers contenant chacun une heure de capture.
Une fois la 24me heure coule, Wireshark va supprimer le premier fichier de la liste et va crer un
nouveau fichier.

24 fichiers

Avantages :
Limiter le risque de dpassement de taille de disque,
Conserver un historique sur 24 heures,
Permettre la copie des fichiers intermdiaires (sauvegarde ou analyse sur autre poste),
Localiser facilement un vnement dans lensemble des fichiers.
Attention : la quantit de donnes captures pouvant tre trs importante, il peut-tre prfrable de
limiter chaque fichier une taille comprise entre 2Mo et 10Mo afin de faciliter le travail danalyse. En
effet, lutilisation des outils de Wireshark peut prendre beaucoup de temps sur un poste aux capacits
limites.
Lastuce pour dterminer le bon nombre de fichier pour effectuer la rotation est deffectuer une premire
capture manuelle pour chronomtrer combien de temps il faut pour remplir la taille choisie.

3.2.4Filtres de capture
Si le flux surveiller est bien identifi (serveur, plage rseau, numros de ports), il est possible de
nenregistrer que les trames qui lui correspondent. Pour cela, Wireshark permet dappliquer un
filtre sur les paquets enregistrer.

Mise jour du dd/05/yy

Page : 6/14

Analyseur rseau Wireshark


La syntaxe du filtre de capture est accessible en cliquant sur le bouton [Help]. Ce filtre permet de
combiner plusieurs conditions (and et or) ainsi que dinverser les filtres (not).

3.3Statistiques instantanes de capture


Une fois tous les paramtres de capture dfinis, la capture dmarre. Wireshark affiche une boite
de dialogue qui indique en temps rel la rpartition des protocoles

Mise jour du dd/05/yy

Page : 7/14

Analyseur rseau Wireshark

4.ANALYSES
Une fois les captures effectues, il est possible de faire le travail danalyse. Cest la partie la plus
complexe mais si les options de captures ont t judicieusement utilises, ce travail ne sera pas
trop long.

4.1Lecture des trames


Laffichage de Wireshark se dcompose en fentre quil est possible de redimensionner :
4.1.1Fentre de rsum
Dans cette fentre, Wireshark affiche un rsum des informations : adresses (niveau 3 ou par
dfaut niveau 2), estampillage horaire, protocole et description succinte. La coloration permet de
retrouver rapidement certains protocoles (broadcast, requtes ARP, etc.) et elle est
personnalisable dans le menu [View] [Coloring Rules].

A partir de cette vue, il est possible de marquer des paquets : menu [Edit] [Mark packet (toggle)]
ou squence clavier [CTRL]+[M]. Cela permet lors dune sauvegarde ou dun export de limiter le
nombre de trames sauvegards.
4.1.2Fentre darborescence de protocole
Cette fentre dtaille le paquet slectionn dans la fentre de rsum : la trame est dcompose
de manire hirarchique, du plus bas niveau (frame) jusquau niveau du protocole le plus lev
connu par Wireshark.

Mise jour du dd/05/yy

Page : 8/14

Analyseur rseau Wireshark


4.1.3Fentre de vue des donnes
Cette fentre affiche les donnes brutes : chaque champ slectionn dans la fentre
darborescence de protocole et indiqu en inverse vido dans cette fentre. Linverse est possible
aussi. De plus, la barre dtat affiche galement le type de donne slectionne.

4.2Analyse rapide
Pour obtenir rapidement des indications concernant les erreurs dans la capture, il faut utiliser le
module expert.
4.2.1Expert Info Composite
Ce module est accessible via le menu [Analyze] [Expert Info Composite]. Il permet une analyse
rapide (bien que ce soit lanalyse la plus complexe).

Mise jour du dd/05/yy

Page : 9/14

Analyseur rseau Wireshark


Chaque trame va tre analyse et les drapeaux (flag) ainsi que les numros de squences seront
suivis. Le rsultat est tri en 5 catgories :

ERRORS : les problmes rels comme des pertes de donnes. Limpact est donc visible.
WARNINGS : les problmes potentiels mais pas forcment rels.
NOTES : les problmes lgers comme les retransmissions suspectes
CHAT : le suivi des sessions (SYNchronisation, ReSeT, etc.)
Details : est une vue des 4 catgories prcdentes permettant de trier les donnes par type.

En cliquant sur une erreur, le module affiche la trame dans le programme principal.
Attention : les onglets du module danalyse expert indiquent le nombre de types derreurs reconnus. En
cliquant sur longlet, chaque type derreur est affich de manire condens : il suffit dexplorer
larborescence pour pouvoir afficher les trames.

Attention : le module danalyse est une aide prcieuse mais il ne permet pas un diagnostic 100%.
Jai eu dans certains cas (protocole TNS dOracle) des messages TNS unreassembled packets qui
taient finalement dus la multiplicit de requtes simultanes : Wireshark nest pas capable de
diffrencier les diffrentes requtes

Dautres outils permettent lanalyse des protocoles utiliss et les temps de rponses ou bande
passante.
Mise jour du dd/05/yy

Page : 10/14

Analyseur rseau Wireshark

4.3Analyse normale
La qualification dun rseau ncessite de pouvoir dterminer lutilisation de celui-ci. Cela inclut
lutilisation de la bande passante, les protocoles prsents ainsi que leur proportion, les temps de
latence, la rpartition des tailles de paquets, etc.
4.3.1Informations sur la capture
Wireshark affiche les informations sur le fichier de capture avec notamment le dbit moyen lors de
la capture. Pour cela, il faut aller dans le menu [Statistics] [Summary].

La dure de capture, ainsi que les dates de dbut et de fin sont indiques de manire claire.
4.3.2Rpartition des protocoles
Wireshark est capable de donner la rpartition des protocoles sur une capture. Dans ce cas, plus
la capture est grande, plus elle sera significative. Dans le menu [Statistics], slectionner [Protocol
Hierarchy] :

Wireshark analyse alors lensemble des trames et fournit une table donnant le pourcentage
dutilisation sur le nombre totale de trame : ainsi le pourcentage de la sous-catgorie Malformed
Packet sous Transparent Network Substrate Protocol se rapporte bien la totalit des
trames de la capture.

Mise jour du dd/05/yy

Page : 11/14

Analyseur rseau Wireshark

Il nest hlas pas possible de copier les informations contenues dans cette fentre, ni
mme, les trier par colonnes.

4.3.3Rpartition des tailles de paquets


Wireshark est capable dafficher la rpartition des paquets par taille. Dans le menu [Statistics],
choisir [Packet Length]
Une fentre saffiche permettant de filtrer sur quels lments la rpartition doit tre calcule : il
nest pas ncessaire de remplir le champ

En cliquant sur le bouton [Create Stat], Wireshark ouvre une fentre contenant la rpartition
demande par tranche.

Comme pour la rpartition hirarchique de protocoles, il nest hlas pas possible de copier
les informations contenues dans cette fentre, ni mme, les trier par colonnes.

Mise jour du dd/05/yy

Page : 12/14

Analyseur rseau Wireshark

4.3.4Conversations
Wireshark est capable de montrer les conversations durant la capture, menu [Statistics]
[Conversations].

Les onglets permettent de choisir le type dadressage (Ethernet, IPX, Ipv4) et mme par
protocoles (TCP ou UDP).

Il est possible de trier les donnes par colonnes (en cliquant sur le titre de la colonne une fois
ou deux fois pour changer lordre) et de copier le rsultat dans le presse-papier (bouton [Copy].

La troisime et la quatrime colonne (Packets et Bytes) sont respectivement la somme des


colonnes Packets A->B + Packet B->A et Bytes A->B + Bytes B-> A.
Mise jour du dd/05/yy

Page : 13/14

Analyseur rseau Wireshark

4.4Analyse graphique "Time-Sequence" (tcptrace)


Cet outil graphique permet de voir rapidement la forme des changes pour un flux slectionn :

Les petits traits verticaux noirs (en forme de 'I') sont des trames envoys (du premier au dernier
octet, donc la hauteur reprsente la longueur de la trame).
La courbe bleue qui semble suit les traits verticaux noirs correspond l'accus de rception des
trames : squence ACK. Elle indique le dlai d'acquittement de chaque trame et lorsqu'il y a une
retransmission, un petit trait vers le bas est ajout (Duplicate ACK).

Mise jour du dd/05/yy

Page : 14/14