Vendredi 23 novembre 2018

Wireshark

Wireshark est un logiciel libre d’analyse de paquets. Il est utilisé pour résoudre les problèmes de réseau, l’analyse, le développement de logiciels et de protocoles de communication, et l’apprentissage. À l’origine nommé Ethereal, le projet est renommé Wireshark en mai 2006 en raison de problèmes de propriété intellectuelle.

Le paquet wireshark est séparé en deux versions, toutes deux présentes dans Community : -cli et -gtk (le paquet -gtk dépend du paquet -cli).

Pour installer l’interface graphique et le client en ligne de commande :

# pacman -S wireshark-gtk

Pour installer uniquement le client :

# pacman -S wireshark-cli

Utiliser Wireshark en tant que simple utilisateur

Il suffit de s’ajouter au groupe ‘'’wireshark’’’ :

# gpasswd -a <username> wireshark

N’oubliez pas de vous reconnecter pour que les modifications prennent effet.

Quelques méthodes de capture

Il existe de nombreuses façons de capturer exactement ce que l’on cherche ‘‘via’’ Wireshark par l’utilisation des filtres.

Pour apprendre la syntaxe des filtres, cf. man pcap-filter

Filtrer les paquets TCP

Si vous souhaitez voir tous les paquets TCP récupérés, tapez tcp dans le champ “filtre”.

Filtrer les paquets par le port

Si vous souhaitez ne récupérer que les paquets TCP transitant par un port spécifique, tapez tcp.port == “port” en remplaçant port par le port considéré.

Filtrer les paquets UDP

Si vous souhaitez voir tous les paquets UDP récupérés, tapez dans le champ “filtre”.

Filtrer les paquets par le port

Si vous souhaitez ne récupérer que les paquets UDP transitant par un port spécifique, tapez udp.port == “port” en remplaçant port par le port considéré.

Filtrer les paquets par l’adresse IP

  • Si vous souhaitez voir toutes les données allant vers une adresse IP spécifique, tapez ip.dst == 1.2.3.4, en remplaçant 1.2.3.4 par l’adresse IP qui reçoit les paquets.
  • Si vous souhaitez voir toutes les données partant d’une adresse IP spécifique, tapez ip.src == 1.2.3.4, en changeant 1.2.3.4 par l’adresse IP qui envoie les données.
  • Si vous souhaitez voir toutes les données relatives à une adresse IP spécifique, tapez ip.addr == 1.2.3.4, en changeant 1.2.3.4 par l’adresse IP à filtrer.

Tshark

TShark est un logiciel avec une interface de type ligne de commande permettant d’analyser les protocoles réseaux capturé depuis une interface (en utilisant la librairie libpcap) ou depuis un fichier de capture au format Wireshark. Développé en parallèle de Wireshark, il est distribué sous licence GNU GPL.

Installation sous debian

sudo apt install tshark

TShark ,tuto fr
tshark tutorial and filter examples