Wireshark est un puissant analyseur de réseau open source qui peut être utilisé pour renifler les données sur un réseau, comme aide au dépannage de l’analyse du trafic réseau, mais également comme outil pédagogique pour aider à comprendre les principes des réseaux et des protocoles de communication.
Il est facilement disponible pour à peu près n’importe quelle distribution Linux et pour Ubuntu, il peut être installé via le centre logiciel Ubuntu ou le terminal :
Avant d’utiliser wireshark, l’utilitaire dumpcap doit être autorisé à s’exécuter en tant que root. Sans cela, Wireshark ne pourra pas capturer le trafic réseau lorsque vous êtes connecté en tant qu’utilisateur normal (qui est toujours dans des distributions comme Ubuntu). Pour ajouter le bit « setuid » à dumpcap, utilisez la commande suivante :
Notez que les guillemets autour du « quel dumpcap » ne sont pas des guillemets simples normaux mais plutôt le caractère d’accent grave. Sur les systèmes de type Unix, cela invoque la substitution de commande où la sortie de la commande which devient un paramètre pour la commande chmod, c’est-à-dire le chemin complet du binaire dumpcap.
Démarrez Wireshark, puis cliquez sur l’interface réseau que vous souhaitez utiliser pour capturer les données. Sur un réseau filaire, ce sera probablement eth0. Cliquez maintenant sur Démarrer.
Wireshark commencera à capturer le trafic et à l’afficher sous forme de liste codée par couleur dans la fenêtre principale. Le trafic TCP est vert, les paquets UDP sont bleu clair, les requêtes ARP sont jaunes et le trafic DNS est affiché en bleu foncé.
Juste en dessous de la barre d’outils se trouve la zone Filtre. Pour voir uniquement certains types de paquets réseau, entrez le nom du protocole dans la zone d’édition et cliquez sur Appliquer. Par exemple, pour voir uniquement le message ARP (Address Resolution Protocol), tapez arp dans la zone Filtre et cliquez sur Appliquer. La liste changera pour n’afficher que les messages ARP. ARP est utilisé sur un réseau local pour découvrir quelle machine utilise une certaine adresse IP. D’autres exemples de filtres sont HTTP, ICMP, SMTP, SMB, etc.
Wireshark peut filtrer en utilisant des critères plus avancés que le seul type de protocole. Par exemple, pour voir tout le trafic lié au DNS provenant d’un hôte particulier, utilisez le filtre ip.src==192.168.1.101 et DNS où 192.168.1.101 est l’adresse source que vous souhaitez filtrer.
Si vous repérez une interaction intéressante entre deux hôtes que vous souhaitez voir dans son intégralité, Wireshark propose une option « suivre le flux ». Faites un clic droit sur n’importe quel paquet de l’échange, puis cliquez sur « Suivre le flux TCP » (ou Suivre le flux UDP, Suivre le flux SSL selon le type de protocole). Wireshark affichera alors une copie complète de la conversation.
Essaye ça
L’utilisation de Wireshark peut être aussi complexe ou aussi simple que vous en avez besoin, il existe de nombreuses fonctionnalités avancées pour les experts en réseau, mais ceux qui souhaitent en savoir plus sur les réseaux peuvent également en bénéficier. Voici quelque chose à essayer si vous voulez en savoir plus sur Wireshark. Démarrez une capture et définissez le filtre sur ICMP. Pingez maintenant votre machine Linux à l’aide d’une commande comme celle-ci à partir d’une autre machine Linux ou même à partir d’un shell de commande Windows PC :
Où 192.168.1.10 est l’adresse IP de la machine Linux. Maintenant, regardez la liste des paquets et voyez si vous repérez le trafic réseau pour le ping.
Cet article est-il utile ? Oui Non
