Wireshark, un petit guide d’utilisation
Comment utiliser Wireshark, le plus connu et le plus efficace renifleur de paquets a récemment atteint sa troisième version.
Parmi les outils logiciels pour l’analyse de réseau Wireshark c’est certainement l’un des plus connus et des plus utilisés. Les réseaux Internet et LAN que nous utilisons tous aujourd’hui sont des exemples de réseaux commutation de paquets: la « construction » d’un canal de communication directe entre la source et la destination des données n’est pas envisagée; le réseau, en revanche, est accessible à plusieurs utilisateurs qui peuvent envoyer et recevoir des informations simultanément.
UNE analyseur de protocole est un logiciel qui écoute sur le réseau et capture les paquets de données en transit, en montrant toutes leurs particularités, en les réorganisant et en permettant d’effectuer des recherches.
Merci à un renifleur de paquets comment Wireshark est possible vérifier quelles activités se déroulent sur le réseau local et collecter des informations utiles sur toute communication effectuée de manière non sécurisée: par exemple, la transmission d’informations d’identification d’accès sous forme non cryptée, l’échange de données non autorisé, etc.
Une carte réseau (sur interface Ethernet ou WiFi) de tout appareil connecté au LAN, ne reçoit par défaut que les paquets de données qui lui sont destinés.
Le « secret » de Wireshark est d’utiliser le soi-disant mode promiscuité: en le paramétrant de cette manière, la carte devient capable «d’intercepter» tout le trafic en temps réel, y compris celui dirigé vers d’autres appareils ou en provenance de ceux-ci.
Par défaut, Wireshark capture les paquets en mode promiscuité.
Contrairement aux outils comme Charles (Surveiller le fonctionnement des applications avec Charles) qui agissent comme des serveurs proxy et qui nécessitent une intervention sur la configuration des appareils individuels connectés au réseau local, Wireshark écoute sur le LAN, reconnaissant et analysant automatiquement tous les paquets en transit.
Le nôtre n’est pas censé être un Didacticiel sur Wireshark mais plutôt un guide d’utilisation des principales caractéristiques du célèbre et apprécié renifleur de paquets.
Pour télécharger la dernière version de Wireshark, qui a récemment adopté le nouveau pilote Ncap (Wireshark, quel est le renifleur de paquets le plus célèbre et comment il fonctionne) pour la capture de paquets de données, reportez-vous simplement à cette page.
Wireshark est disponible, ainsi que dans la version Windows, également dans ceux compatibles avec les systèmes macOS et Linux (téléchargeable à partir d’ici).
Wireshark peut également être installé et utilisé dans une machine virtuelle pour détecter et analyser tout le trafic réseau. L’important est de mettre la carte virtuelle en mode pont et activez le mode promiscuité.
Dans le cas de Virtualboxpar exemple, allez simplement dans les paramètres réseau, puis sélectionnez Carte de pont à Connecté à est Tout autoriser dans le menu déroulant Mode promiscuité.
Pour utiliser Wireshark, il est essentiel d’utiliser un compte avec des privilèges administratifs.
Comment configurer Wireshark pour la première utilisation
Au démarrage de Wireshark, le programme vous demande d’indiquer l’interface réseau sur laquelle vous souhaitez activer la capture et l’analyse des paquets de données. Les noms des interfaces correspondent à ceux qui apparaissent sous Windows en appuyant sur la combinaison de touches Windows + R puis en tapant ncpa.cpl.
Il faudra donc cliquer sur l’interface réseau avec laquelle le système utilisé est connecté au LAN.
Se référer au menu Modifier les préférences puis en choisissant Résolution de nom dans la colonne de gauche, nous vous suggérons de cocher toutes les cases sous l’indication Résolution de nom. Ce faisant, Wireshark résoudra toutes les adresses IP en affichant à leur place, si possible, le nom du domaine ou du système correspondant.
Avec un clic sur la première icône à gauche de la barre d’outils Wireshark (elle représente l’aileron d’un requin), le programme démarrera l’activité de capture et d’analyse des paquets de données en transit.
Au départ, la fenêtre de Wireshark sera complètement illisible: des centaines de lignes contenant la source, la destination, le protocole et une série d’informations se succéderont continuellement. En cliquant sur n’importe quelle ligne, il est possible de lire le contenu du package sélectionné.
Dans le cas des paquets HTTPS ou en tout cas de tous les paquets de données cryptés (SSL / TLS), les données ne seront évidemment pas lisibles, tandis que via Wireshark il sera possible d’accéder directement au contenu des paquets non cryptés.
Wireshark met en évidence les paquets de données en fonction de plusieurs règles, résumées dans la capture d’écran Vue, règles de coloration. Ils sont librement personnalisables.
Wireshark vous permet de filtrer les paquets de données en temps réel, d’obtenir l’affichage des seules informations qui vous intéressent ou d’effectuer un «survol» par la suite. En cliquant sur l’icône à gauche du champ Appliquer un filtre de vue, vous pouvez accéder à une série de filtres prédéfinis. Vous pouvez également saisir manuellement ceux que vous souhaitez utiliser.
Les nouveaux peuvent être prédéfinis en cliquant sur le menu Analyser, afficher les filtres.
Taper par exemple tcp ou alors udp dans la case ci-dessus, Wireshark affichera – respectivement – uniquement le trafic sur le protocole TCP ou UDP; l’écriture http seuls les paquets transmis en utilisant le protocole HTTP sans aucune forme d’encodage apparaîtront.
Taper par exemple bittorrent il sera possible d’établir sur quelles stations de travail l’application BitTorrent s’exécute en retournant à l’adresse locale correspondante.
Utiliser la syntaxe tcp.port == 9001 || tcp.port == 9030, il est possible de savoir sur quels appareils le logiciel Tor Browser est éventuellement utilisé.
Wireshark supporte également l’auto-composition des règles pour les filtres d’affichage: en indiquant une partie du nom d’un protocole, par exemple, vous pourrez obtenir des suggestions sur la syntaxe utilisable.
La liste complète des filtres utilisables avec Wireshark peuvent être consultés sur cette page.
La section Statistiques de Wireshark est incroyablement utile car il vous permet d’avoir instantanément un aperçu de tout ce qui se passe sur le réseau local: la liste des sites Web visités, des appareils (terminateurs, traduction de point final) qui génèrent plus de trafic, des tâches plus lourdes, etc.
Par exemple, essayez de vérifier ce qui se passe en choisissant Terminateurs puis la carte IPv4 et enfin en cliquant sur l’en-tête de colonne Octets: vous trouverez la liste des systèmes locaux et des adresses publiques distantes avec lesquelles le plus de données ont été échangées.
Utilisant tcpdump il est possible de capturer le trafic à l’avance et de le donner plus tard dans le passé à Wireshark.
Découvrez également plus d’articles dans nos catégories Internet, productivité ou encore Ordinateur et internet.
Merci pour votre visite on espère que notre article Wireshark, un petit guide d’utilisation
vous aide, n’oubliez pas de partager l’article sur Facebook, pinterest et e-mail avec les hashtag ☑️ #Wireshark #petit #guide #dutilisation ☑️!
