Comment ça marche Wireshark ? – 2eme partie
 |
au sommaire
|
Cet article est la suite de Comment ça marche Wireshark – Premier pas. Si vous ne l’avez pas lu, je vous conseille de commencer par le lire pour installer et comprendre le fonctionnement de Wireshark.
Disposition des fenêtres de Wireshark
La disposition des fenêtres peut être différente en fonction des versions de Wireshark, alors avant de commencer, je vous propose de modifier votre affichage pour que nous ayons les mêmes captures d’écran.
Pour cela , allez sur le menu : Editer – Préférences
Puis choisissez la disposition suivante :
Les 3 panneaux l’un en dessous de l’autre (Pendant qu’on y ait, vérifiez que les panneaux contiennent la même chose que les miens). Ensuite, vous pouvez valider.
ça y est, tout est prêt alors, c’est parti.
Notre première capture de trames
Pour notre première capture, nous allons faire simple et pour bien voir ce qui se passe, je vous propose :
- de fermer tous les navigateurs ouverts (sauf celui-ci évidemment),
- de fermer tous les onglets de navigation (sauf celui-ci évidemment),
- de fermer tous les autres logiciels ouverts.
L’objectif étant de bien faire ressortir simplement tout ce que nous voulons voir. (Juste pour information, lorsque l’on utilise Wireshark, il n’est pas nécessaire de tout fermer comme je vous le demande.)
Je résume, vous avez seulement votre Wireshark et un navigateur d’ouverts.
Si Wireshark est en cours de capture, arrêtez-la en cliquant sur la bouton d’arrêt.
Puis démarrez la capture en cliquant sur l’icone :
Maintenant, retournez sur votre navigateur et sur votre moteur de recherche.
Et pour que nous ayons tous la même chose, je vous propose de faire une recherche de « test débit nperf » et de cliquer sur le 1er lien. (Pour votre culture nperf.com est un site qui permet de calculer la vitesse de votre connexion Internet, mais cela fonctionnerait avec n’importe quel site)
une fois que la page est ouverte dans votre navigateur, vous pouvez retourner sur Wireshark et arrêter la capture en cliquant sur le carré rouge.
Appliquons un filtre avec Wireshark
Comme vous pouvez le constater, même si vous n’avez pratiquement aucun logiciel d’ouvert, bon nombre de trames réseaux circulent et Wireshark les capture toutes. Il devient difficile de repérer ce qui peut nous intéresser et c’est pour cela qu’il faut filtrer l’affichage.
Tapez directement « dns » dans la zone filtre (1) et terminez par « Entrée »
Wireshark n’affiche alors que les trames qui ont pour protocole « DNS ».
C’est l’occasion pour nous, de reprendre un petit cours de réseau :
- Nous avons filtré sur DNS, je vous rappelle que c’est le protocole qui gère la résolution des noms (qui fait le lien entre les url et les adresses IP) : si besoin relisez c’est quoi un serveur DNS ou c’est quoi une URL.
- 192.168.253.6 : c’est l’adresse IP de mon ordinateur car c’est lui qui est à l’origine de la requête (la source).
- 192.168.253.254 : c’est l’adresse IP de ma box Internet. C’est la destination de ma requête vers l’Internet. C’est normal, mon ordinateur communique avec ma box et pas directement avec l’Internet. C’est ma box qui va relayer la requête sur Internet
- La requête qui est envoyée sur Internet est : « quelle est l’adresse de www.nperf.com ? »
- En enfin, pour votre culture et pour un petit rappel : même si je n’ai rien demandé, je suis acheminé vers un CDN (cdn.nperf.com) : N’hésitez pas à relire : Comment ça marche Internet, c’est quoi un CDN ?
Regardons les trames en détail
Pour regarder le détail des trames réseaux, je vous propose de nous rejoindre sur « Wireshark : le détail des trames réseaux ».
Nous y verrons la réponse à la question « quelle est l’adresse de www.nperf.com ? », comment on trouve cette réponse et ensuite comment elle utilisée pour surfer.
Et nous terminerons en regardant aussi les autres méthodes pour faire des filtres.
