Ce qu'il faut savoir
- Wireshark est une application open source qui capture et affiche les données circulant dans les deux sens sur un réseau.
- Comme il peut explorer et lire le contenu de chaque paquet, il est utilisé pour résoudre les problèmes de réseau et tester le logiciel.
Les instructions de cet article s'appliquent à Wireshark 3.0.3 pour Windows et Mac.
Qu'est-ce que Wireshark?
Initialement connu sous le nom d'Ethereal, Wireshark affiche les données de centaines de protocoles différents sur tous les principaux types de réseaux. Les paquets de données peuvent être visualisés en temps réel ou analysés hors ligne. Wireshark prend en charge des dizaines de formats de fichiers de capture / trace, y compris CAP et ERF. Les outils de décryptage intégrés affichent les paquets cryptés pour plusieurs protocoles courants, notamment WEP et WPA / WPA2.
Comment télécharger et installer Wireshark
Wireshark peut être téléchargé gratuitement à partir du site Web de la Wireshark Foundation pour macOS et Windows. Vous verrez la dernière version stable et la version de développement actuelle. Sauf si vous êtes un utilisateur avancé, téléchargez la version stable.
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
Pendant le processus d'installation de Windows, choisissez d'installer WinPcap or Npcap si vous y êtes invité car ceux-ci incluent les bibliothèques requises pour la capture de données en direct.
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
Vous devez être connecté à l'appareil en tant qu'administrateur pour utiliser Wireshark. Dans Windows 10, recherchez Wireshark et sélectionnez Exécuter en tant qu'administrateur. Sous macOS, cliquez avec le bouton droit sur l'icône de l'application et sélectionnez Obtenir des informations. Dans le Partage et permissions paramètres, donnez à l'administrateur Lecture et écriture Privilèges.
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
L'application est également disponible pour Linux et d'autres plates-formes de type UNIX, notamment Red Hat, Solaris et FreeBSD. Les binaires requis pour ces systèmes d'exploitation se trouvent vers le bas de la page de téléchargement de Wireshark sous le Forfaits de tiers section. Vous pouvez également télécharger le code source de Wireshark depuis cette page.
Comment capturer des paquets de données avec Wireshark
Lorsque vous lancez Wireshark, un écran de bienvenue répertorie les connexions réseau disponibles sur votre appareil actuel. Un graphique linéaire de style ECG qui représente le trafic en direct sur ce réseau s'affiche à droite de chacun.
Pour commencer à capturer des paquets avec Wireshark:
-
Sélectionnez un ou plusieurs réseaux, accédez à la barre de menu, puis sélectionnez Capture.
Pour sélectionner plusieurs réseaux, maintenez le Mission pendant que vous faites votre sélection.
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
Dans le Interfaces de capture Wireshark fenêtre, sélectionnez C'est parti !.
Il existe d'autres moyens de lancer la capture de paquets. Sélectionnez le aileron de requin sur le côté gauche de la barre d'outils Wireshark, appuyez surCtrl + Eou double-cliquez sur le réseau.
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
Choisir Déposez le > Enregistrer sous ou choisissez un Exporter option pour enregistrer la capture.
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
Pour arrêter la capture, appuyez sur Ctrl + E. Ou, allez dans la barre d'outils Wireshark et sélectionnez le rouge Arrêter bouton situé à côté de l'aileron de requin.
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
Comment afficher et analyser le contenu des paquets
L'interface des données capturées contient trois sections principales:
- Le volet de la liste des paquets (la section supérieure)
- Le volet de détails du paquet (la section centrale)
- Le volet des octets de paquets (la section inférieure)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
Liste des paquets
Le volet de la liste des paquets, situé en haut de la fenêtre, affiche tous les paquets trouvés dans le fichier de capture actif. Chaque paquet a sa propre ligne et le numéro correspondant qui lui est attribué, ainsi que chacun de ces points de données:
- Non: Ce champ indique quels paquets font partie de la même conversation. Il reste vide jusqu'à ce que vous sélectionniez un paquet.
- Durée : L'horodatage de la capture du paquet est affiché dans cette colonne. Le format par défaut est le nombre de secondes ou de secondes partielles depuis la création initiale de ce fichier de capture spécifique.
- La source: Cette colonne contient l'adresse (IP ou autre) d'où provient le paquet.
- Destination: Cette colonne contient l'adresse à laquelle le paquet est envoyé.
- Protocole: Le nom de protocole du paquet, tel que TCP, se trouve dans cette colonne.
- Longueur: La longueur du paquet, en octets, est affichée dans cette colonne.
- Renseignements: Des détails supplémentaires sur le paquet sont présentés ici. Le contenu de cette colonne peut varier considérablement en fonction du contenu du paquet.
Pour changer le format de l'heure en quelque chose de plus utile (comme l'heure réelle du jour), sélectionnez afficher > Format d'affichage de l'heure.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
Lorsqu'un paquet est sélectionné dans le volet supérieur, vous remarquerez peut-être qu'un ou plusieurs symboles apparaissent dans le Non. colonne. Des crochets ouverts ou fermés et une ligne horizontale droite indiquent si un paquet ou un groupe de paquets fait partie de la même conversation aller-retour sur le réseau. Une ligne horizontale interrompue signifie qu'un paquet ne fait pas partie de la conversation.
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
Détails du paquet
Le volet de détails, situé au milieu, présente les protocoles et les champs de protocole du paquet sélectionné dans un format pliable. En plus d'étendre chaque sélection, vous pouvez appliquer des filtres Wireshark individuels basés sur des détails spécifiques et suivre des flux de données basés sur le type de protocole en cliquant avec le bouton droit sur l'élément souhaité.
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
Octets de paquet
En bas se trouve le volet des octets de paquet, qui affiche les données brutes du paquet sélectionné dans une vue hexadécimale. Ce vidage hexadécimal contient 16 octets hexadécimaux et 16 octets ASCII à côté du décalage de données.
La sélection d'une partie spécifique de ces données met automatiquement en évidence sa section correspondante dans le volet de détails du paquet et vice versa. Tous les octets qui ne peuvent pas être imprimés sont représentés par un point.
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
Pour afficher ces données au format bit par opposition à hexadécimal, cliquez avec le bouton droit n'importe où dans le volet et sélectionnez sous forme de bits.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
Comment utiliser les filtres Wireshark
Les filtres de capture indiquent à Wireshark d'enregistrer uniquement les paquets qui répondent aux critères spécifiés. Les filtres peuvent également être appliqués à un fichier de capture qui a été créé afin que seuls certains paquets soient affichés. Ils sont appelés filtres d'affichage.
Wireshark fournit un grand nombre de filtres prédéfinis par défaut. Pour utiliser l'un de ces filtres existants, saisissez son nom dans le champ Appliquer un filtre d'affichage champ de saisie situé sous la barre d'outils Wireshark ou dans le Entrez un filtre de capture champ situé au centre de l'écran d'accueil.
Par exemple, si vous souhaitez afficher les paquets TCP, tapez tcp. La fonctionnalité de saisie semi-automatique de Wireshark affiche les noms suggérés au fur et à mesure que vous commencez à taper, ce qui facilite la recherche du nom correct pour le filtre que vous recherchez.
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
Une autre façon de choisir un filtre consiste à sélectionner le signet sur le côté gauche du champ de saisie. Choisir Gérer les expressions de filtre or Gérer les filtres d'affichage pour ajouter, supprimer ou modifier des filtres.
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
Vous pouvez également accéder aux filtres précédemment utilisés en sélectionnant la flèche vers le bas sur le côté droit du champ de saisie pour afficher une liste déroulante d'historique.
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
Les filtres de capture sont appliqués dès que vous commencez à enregistrer le trafic réseau. Pour appliquer un filtre d'affichage, sélectionnez la flèche droite sur le côté droit du champ de saisie.
Règles de couleur de Wireshark
Alors que les filtres de capture et d'affichage de Wireshark limitent les paquets enregistrés ou affichés à l'écran, sa fonction de colorisation va encore plus loin: elle peut distinguer les différents types de paquets en fonction de leur teinte individuelle. Cela localise rapidement certains paquets dans un ensemble enregistré par leur couleur de ligne dans le volet de la liste des paquets.
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark est livré avec environ 20 règles de coloration par défaut, chacune pouvant être modifiée, désactivée ou supprimée. Sélectionner afficher > Règles de coloration pour un aperçu de ce que signifie chaque couleur. Vous pouvez également ajouter vos propres filtres basés sur la couleur.
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
Choisir afficher > Coloriser la liste des paquets pour activer et désactiver la colorisation des paquets.
Statistiques à Wireshark
D'autres mesures utiles sont disponibles via le Données statistiques menu déroulant. Celles-ci incluent des informations sur la taille et la synchronisation du fichier de capture, ainsi que des dizaines de graphiques et de graphiques allant de la répartition des conversations de paquets à la distribution de charge des requêtes HTTP.
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
Les filtres d'affichage peuvent être appliqués à bon nombre de ces statistiques via leurs interfaces, et les résultats peuvent être exportés vers des formats de fichier courants, notamment CSV, XML et TXT.
Fonctionnalités avancées de Wireshark
Wireshark prend également en charge des fonctionnalités avancées, notamment la possibilité d'écrire des dissecteurs de protocole dans le langage de programmation Lua.