Comment ça marche Wireshark ? – premiers pas
 |
au sommaire
|
Si vous n’avez jamais utilisé Wireshark, votre première expérience avec le logiciel peut être repoussante car le logiciel affiche beaucoup d’informations.
Voici donc un petit guide pour voir comment bien débuter avec Wireshark même si l’on est totalement débutant. Ensuite, nous regarderons quelques fonctionnalités intéressantes.
Nos premiers pas avec Wireshark ?
Nous venons d’installer Wireshark (si vous ne l’avez pas fait, allez-y en consultant : C’est quoi Wireshark ?)
Rappel du lien pour télécharger : https://www.wireshark.org/download.html
Lorsque vous lancez Wireshark, l’écran suivant s’affiche*.
* l’écran peut être légèrement différent chez vous en fonction des cartes réseaux installées et connectées.
Comme vous pouvez le constater, il y a du trafic sur les cartes réseaux : Wifi et Ethernet. On voit les graphiques évoluer …
Il faut maintenant choisir l’interface (la carte réseau) que l’on veut surveiller.
Pour la démonstration, j’ai choisi la carte wifi mais vous pouvez choisir une autre interface. (il suffit de faire un double-clic dessus)
Lorsque vous lancez Wireshark, celui-ci commence tout de suite à capturer les trames réseaux. Une page apparaît alors qui peut être déroutante puisqu’elle affiche en temps réel toutes les trames réseaux qui circulent sur la carte réseau sélectionnée.
Les trames défilent à l’écran, alors pour arrêter la capture, cliquez sur le bouton « Stop » en haut à gauche (1).
Voici quelques explications sur les différentes icones que vous pouvez trouver sur la barre de commande :
Les icones de la barre de commande
Je ne vais pas vous expliquer toutes les icones, car certaines sont assez facile à comprendre (tels que les zooms avant ou arrière), mais voici les commandes les plus utiles dans Wireshark :
- Démarrer une nouvelle capture
Il s’agit de l’icone qui permet de démarrer une nouvelle capture.
A chaque fois que vous cliquez sur cette icone, Wireshark va vous demander si vous voulez enregistrer la capture réalisée. Vous n’êtes pas obligé d’enregistrer toutes vos captures. - Arrêter la capture en cours
En cliquant sur ce bouton, la capture s’arrête et vous avez à l’écran toutes les trames capturées.
Vous pouvez naviguer à l’intérieur de ces trames et vous serez plus perturbez par les nouvelles trames qui arrivent.
Il est intéressant d’arrêter la capture pour repartir à vide avec seulement les nouvelles trames qui arrivent. - Gestion des fichiers de capture
C’est assez intéressant lorsque l’on travaille sur un problème réseau de mettre en place Wireshark pour enregistrer toutes les trames qui circulent sur le réseau. Mais le temps d’analyse peut parfois prendre beaucoup de temps.
Il est donc très intéressant de sauvegarder pour pouvoir rouvrir plus tard les fichiers de capture.
Explication des différentes fenêtres de Wireshark
- C’est ici que vous pourrez appliquer des filtres pour ne voir que les trames qui vous intéresse
- Sur cette fenêtre, il y a toutes les trames réseaux enregistrées par Wireshark
- C’est le détail de la trame (sélectionnée dans la fenêtre 2) mise en forme par wireshark.
- C’est le contenu de la trame réseau (sélectionnée dans la fenêtre 2)
En fonction de la version, vous pouvez avoir les écrans de ces 2 façons :
ou
Les filtres Wireshark
L’utilisation d’un filtre est très simple puisqu’il suffit de saisir une valeur dans la zone filtre.
Cette valeur peut prendre la forme suivante :
- Un protocole
- exemple « dns », « arp », « icmp », etc
- Une adresse source
- 192.168.1.1
- un mix de différents filtre « dns » et « adresse ip source » par exemple
Faisons un test avec comme filtre « dns » et surfons sur Internet.
Retrouvons-nous sur la page suivante pour regarder tout ça …
