Académique Documents
Professionnel Documents
Culture Documents
WIRESHARK
Wireshark
Wireshark est un logiciel libre d'analyse de protocole, ou « packet sniffer », utilisé dans le dépannage et l'analyse
de réseaux informatiques, le développement de protocoles, l'éducation, la rétro ingénierie, mais aussi le piratage.
Wireshark est multiplateformes, il fonctionne sous Windows, Mac OS X, Linux, Solaris, ainsi que sous FreeBSD.
Wireshark reconnait 759 protocoles.
Documentation : http://www.wireshark.org/docs/wsug_html_chunked/index.html
Il suffit de sélectionner l’interface que l’on veut capturer ici la carte Wifi et lancer la capture
Filtrage
Lorsque l’on lance une capture avec les paramétrages par défaut de Wireshark on obtient un grand nombre
d'informations à l'écran. Bien souvent ceci complique la recherche de l'information désirée. Trop d'information
tue l'information.
C'est pourquoi Wireshark possède des filtres qui permettent de cibler les données que l’on recherche.
- Les filtres de capture: Utilisés pour sélectionner les données à enregistrer dans les journaux. Ils sont définis
avec le démarrage de la capture.
- Les filtres d'affichage: Utilisés pour rechercher à l'intérieur des données capturées. Ils peuvent être modifiés
pendant que des données sont capturées.
Doit-on utiliser le filtre de capture ou le filtre d'affichage ?. Les buts des deux filtres sont différents.
Le filtre de capture est utilisé comme premier large filtre pour limiter la taille des données capturées afin
d'empêcher la génération d'un journal trop volumineux.
Le filtre d'affichage est quant à lui bien plus puissant (et complexe), il permet de rechercher exactement les
données souhaitées.
La syntaxe des deux types de filtres est complètement différente. Nous allons les présenter dans la suite de ce
document.
Il est possible (indispensable !) de créer des filtres d'affichage qui ne montrent que les trames conformes à la règle
de filtrage. Cela permettra d'isoler un échange en particulier ou l'analyse d'un protocole spécifique.
Le bouton « Expression » permet d'accéder à un assistant pour créer une règle de filtrage. Une règle de filtrage
s'appuie sur les champs des entêtes (header) des protocoles connus du logiciel Wireshark :
On peut créer des règles de filtrage en combinant plusieurs expressions avec des opérateurs && (ET), || (OU) et
! (INVERSEUR), par exemple : Toutes les trames dont l'adresse ip destination est égale à 145.254.160.237 et
dont le port source ou destination n'est pas 80 : ip.dst == 145.254.160.237 && !tcp.port == 80
Remarque : en tapant directement dans la zone de saisie « Filter », Wireshark propose une complétion bien
pratique.
Filtre de capture
Le filtre de capture doit être configuré avant de lancer la capture Wireshark, ce qui n'est pas le cas pour les filtres
d'affichage qui peuvent être modifiés à n'importe quel moment pendant la capture.
Protocole: Valeurs: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Si aucun protocole n'est sélectionné, tous les protocoles sont utilisés.
Par exemple,
"not tcp port 3128 and tcp port 23" est équivalent à "(not tcp port 3128) and tcp port 23"
"not tcp port 3128 and tcp port 23" est équivalent à "not (tcp port 3128 and tcp port 23)"
Exemples:
tcp dst port 3128 : Affiche les paquets avec un port destination TCP de 3128.
ip src host 10.1.1.1 : Affiche les paquets avec une adresse IP source égale à 10.1.1.1.
host 10.1.2.3 : Affiche les paquets avec une adresse source ou destination égal à 10.1.2.3.
src portrange 2000-2500 : Affiche les paquets avec des ports TCP ou UDP source dans l'étendue 2000 à 2500.
not imcp : Affiche tout sauf les paquets icmp. (icmp est typiquement utilisé par l'utilitaire Ping.)
src host 10.7.2.12 and not dst net 10.200.0.0/16 : Affiche les paquets avec une adresse IP source de 10.7.2.12
et en même temps avec un réseau IP de destination différent de 10.200.0.0/16.
Analyse
WireShark permet l’analyse des paquets et notamment de suivre les données par les séquences Stream.
En effectuant un clic droit sur un paquet puis suivre HTTP Stream, WireShark vous permet de visualiser les
données (en rose, la connexion cliente et en bleu la réponse du serveur).
WireShark permet ensuite de filtrer les paquets ayant cette même séquence (ex : tcp.stream eq 1).
Statistiques
WireSharck offre aussi la possibilité d’effectuer des statistiques à partir du menu Statistiques : protocoles
utilisé, paquets envoyés, longueur des paquets ou encore des statistiques sur les IP de destination/source.
Les statistiques prennent en compte les filtres, il est alors tout à fait possible d’effectuer les statistiques sur une
machine.
Menu Statistics / Conversation / TCP montre les communications par IP et protocoles et le volume échangé.
Notez le bouton Follow Stream qui permet de filtrer ensuite sur la ligne sélectionnée