SN DD-WIRESHARK - page 1/8 -

WIRESHARK

Wireshark

Wireshark est un logiciel libre d'analyse de protocole, ou « packet sniffer », utilisé dans le dépannage et l'analyse
de réseaux informatiques, le développement de protocoles, l'éducation, la rétro ingénierie, mais aussi le piratage.
Wireshark est multiplateformes, il fonctionne sous Windows, Mac OS X, Linux, Solaris, ainsi que sous FreeBSD.
Wireshark reconnait 759 protocoles.

Site officiel : http://www.wireshark.org/

Documentation : http://www.wireshark.org/docs/wsug_html_chunked/index.html

Le logiciel s'ouvre sur cette page de menu :

Il suffit de sélectionner l’interface que l’on veut capturer ici la carte Wifi et lancer la capture

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 1
 SN DD-WIRESHARK - page 2/8 -

Filtrage

Lorsque l’on lance une capture avec les paramétrages par défaut de Wireshark on obtient un grand nombre
d'informations à l'écran. Bien souvent ceci complique la recherche de l'information désirée. Trop d'information
tue l'information.

C'est pourquoi Wireshark possède des filtres qui permettent de cibler les données que l’on recherche.

- Les filtres de capture: Utilisés pour sélectionner les données à enregistrer dans les journaux. Ils sont définis
avec le démarrage de la capture.
- Les filtres d'affichage: Utilisés pour rechercher à l'intérieur des données capturées. Ils peuvent être modifiés
pendant que des données sont capturées.

Doit-on utiliser le filtre de capture ou le filtre d'affichage ?. Les buts des deux filtres sont différents.

Le filtre de capture est utilisé comme premier large filtre pour limiter la taille des données capturées afin
d'empêcher la génération d'un journal trop volumineux.
Le filtre d'affichage est quant à lui bien plus puissant (et complexe), il permet de rechercher exactement les
données souhaitées.

La syntaxe des deux types de filtres est complètement différente. Nous allons les présenter dans la suite de ce
document.

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 2
 SN DD-WIRESHARK - page 3/8 -

Les filtres de capture

Il est possible (indispensable !) de créer des filtres d'affichage qui ne montrent que les trames conformes à la règle
de filtrage. Cela permettra d'isoler un échange en particulier ou l'analyse d'un protocole spécifique.

On renseignera le cadre filtre

Le bouton « Expression » permet d'accéder à un assistant pour créer une règle de filtrage. Une règle de filtrage
s'appuie sur les champs des entêtes (header) des protocoles connus du logiciel Wireshark :

Voici quelques filtres sur les IP :

ip.addr == 192.168.1.27 : pour avoir que les paquets de cette ip

ip.addr != 38.101.166.24 : pour NE PAS avoir les paquets de cette ip
ip.src == 38.101.166.24 : pour filtrer sur les ip sources
ip.dst == 38.101.166.24 : pour filtrer sur les ip distantes

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 3
 SN DD-WIRESHARK - page 4/8 -

On peut créer des règles de filtrage en combinant plusieurs expressions avec des opérateurs && (ET), || (OU) et
! (INVERSEUR), par exemple : Toutes les trames dont l'adresse ip destination est égale à 145.254.160.237 et
dont le port source ou destination n'est pas 80 : ip.dst == 145.254.160.237 && !tcp.port == 80

Remarque : en tapant directement dans la zone de saisie « Filter », Wireshark propose une complétion bien
pratique.

Filtre de capture

Le filtre de capture doit être configuré avant de lancer la capture Wireshark, ce qui n'est pas le cas pour les filtres
d'affichage qui peuvent être modifiés à n'importe quel moment pendant la capture.

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 4
 SN DD-WIRESHARK - page 5/8 -

On choisit son interface et définit un filtre de capture

On peut éditer la liste des filtres de capture

Et ajouter un filtre a la liste

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 5
 SN DD-WIRESHARK - page 6/8 -

Syntaxe: Protocole Direction Hôte(s) Valeur Operations logique Autre expression

Exemple: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128

Protocole: Valeurs: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Si aucun protocole n'est sélectionné, tous les protocoles sont utilisés.

Direction: Valeurs: src, dst, src and dst, src or dst

Si aucune source ou destination n'est spécifiée, les mots-clefs "src or dst" sont appliqués.
Par exemple, "host 10.2.2.2" est équivalent à "src or dst host 10.2.2.2".

Hôte(s): Valeurs: net, port, host, portrange

Si aucun hôte n'est spécifié, le mot clef "host" est utilisé.
Par exemple, "src 10.1.1.1" est équivalent à "src host 10.1.1.1".

Operations logiques: Valeurs: not, and, or

Négation ("not") a la plus haute priorité. Alternance ("or") et concaténation ("and") ont des priorités
équivalentes et s'associent de gauche à droite.

Par exemple,
"not tcp port 3128 and tcp port 23" est équivalent à "(not tcp port 3128) and tcp port 23"
"not tcp port 3128 and tcp port 23" est équivalent à "not (tcp port 3128 and tcp port 23)"

Exemples:

tcp dst port 3128 : Affiche les paquets avec un port destination TCP de 3128.

ip src host 10.1.1.1 : Affiche les paquets avec une adresse IP source égale à 10.1.1.1.

host 10.1.2.3 : Affiche les paquets avec une adresse source ou destination égal à 10.1.2.3.

src portrange 2000-2500 : Affiche les paquets avec des ports TCP ou UDP source dans l'étendue 2000 à 2500.

not imcp : Affiche tout sauf les paquets icmp. (icmp est typiquement utilisé par l'utilitaire Ping.)

src host 10.7.2.12 and not dst net 10.200.0.0/16 : Affiche les paquets avec une adresse IP source de 10.7.2.12
et en même temps avec un réseau IP de destination différent de 10.200.0.0/16.

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 6
 SN DD-WIRESHARK - page 7/8 -

Analyse

WireShark permet l’analyse des paquets et notamment de suivre les données par les séquences Stream.
En effectuant un clic droit sur un paquet puis suivre HTTP Stream, WireShark vous permet de visualiser les
données (en rose, la connexion cliente et en bleu la réponse du serveur).
WireShark permet ensuite de filtrer les paquets ayant cette même séquence (ex : tcp.stream eq 1).

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 7
 SN DD-WIRESHARK - page 8/8 -

Statistiques

WireSharck offre aussi la possibilité d’effectuer des statistiques à partir du menu Statistiques : protocoles
utilisé, paquets envoyés, longueur des paquets ou encore des statistiques sur les IP de destination/source.
Les statistiques prennent en compte les filtres, il est alors tout à fait possible d’effectuer les statistiques sur une
machine.
Menu Statistics / Conversation / TCP montre les communications par IP et protocoles et le volume échangé.
Notez le bouton Follow Stream qui permet de filtrer ensuite sur la ligne sélectionnée

Lycée des Métiers Jacques Prévert Combs – la – Ville

Section de BAC PRO Systèmes électroniques Numériques 8