Wireshark est un outil de capture et d'analyse de paquets réseau open-source, largement utilisé par les professionnels de la sécurité, les administrateurs réseau, les développeurs et les analystes pour surveiller et analyser le trafic réseau. Wireshark permet de capturer des paquets réseau en temps réel et de les analyser en détail pour identifier des problèmes de réseau, des vulnérabilités de sécurité, et comprendre le comportement des applications réseau.
Installation
Pour installer Wireshark, vous pouvez utiliser les gestionnaires de paquets de votre distribution Linux. Par exemple, sur une distribution basée sur Debian comme Ubuntu, vous pouvez utiliser apt :
sudo apt update
sudo apt install wireshark
Utilisation de Base
1. Lancer Wireshark
Pour lancer Wireshark, vous pouvez simplement exécuter la commande suivante :
wireshark
Cela ouvrira l'interface graphique de Wireshark.
2. Capturer des Paquets Réseau
Pour capturer des paquets réseau, suivez ces étapes :
- Sélectionnez l'interface réseau que vous souhaitez surveiller dans la liste des interfaces disponibles.
- Cliquez sur le bouton "Start" pour commencer la capture des paquets.
- Wireshark commencera à capturer et afficher les paquets réseau en temps réel.
3. Arrêter la Capture
Pour arrêter la capture des paquets, cliquez sur le bouton "Stop" dans la barre d'outils de Wireshark.
Exemples d'Utilisation Avancée
1. Filtrer les Paquets Capturés
Pour filtrer les paquets capturés, vous pouvez utiliser des filtres d'affichage. Par exemple, pour afficher uniquement les paquets HTTP, vous pouvez utiliser le filtre suivant :
http
Entrez ce filtre dans la barre de filtre d'affichage en haut de l'interface de Wireshark.
2. Capturer des Paquets avec des Filtres de Capture
Pour capturer des paquets avec des filtres de capture, vous pouvez utiliser des filtres de capture. Par exemple, pour capturer uniquement les paquets HTTP, vous pouvez utiliser le filtre suivant :
tcp port 80
Entrez ce filtre dans la barre de filtre de capture avant de commencer la capture.
3. Analyser les Paquets Capturés
Pour analyser les paquets capturés, vous pouvez utiliser les différentes vues disponibles dans Wireshark :
- Packet List Pane : Affiche une liste des paquets capturés.
- Packet Details Pane : Affiche les détails des paquets sélectionnés.
- Packet Bytes Pane : Affiche les octets bruts des paquets sélectionnés.
4. Utiliser des Filtres de Suivi
Pour suivre les flux de conversation entre deux hôtes, vous pouvez utiliser les filtres de suivi. Par exemple, pour suivre un flux TCP, cliquez avec le bouton droit sur un paquet TCP et sélectionnez "Follow" > "TCP Stream".
5. Exporter les Paquets Capturés
Pour exporter les paquets capturés, vous pouvez utiliser l'option "File" > "Export Packet Dissections" > "As Plain Text". Cela vous permettra d'exporter les paquets capturés sous forme de texte brut pour une analyse ultérieure.
Conclusion
Wireshark est un outil puissant et flexible pour la capture et l'analyse de paquets réseau. En utilisant les fonctionnalités de base et avancées de Wireshark, vous pouvez surveiller et analyser le trafic réseau pour identifier des problèmes de réseau, des vulnérabilités de sécurité, et comprendre le comportement des applications réseau. Pour plus d'informations, vous pouvez consulter la documentation officielle de Wireshark.
Liens :
https://blog.varonis.fr/comment-utiliser-wireshark/
Youtube :
