Ce tutoriel se divise donc en 5 parties : 1. L’installation de Wireshark 2. Premier pas avec Wireshark 3. Comment capturer les trames sur le réseau 4. Comment définir un filtre pour la capture des trames 5. Comment définir un filtre pour la visualisation des trames Le but de ce tutorial n’est pas de reprendre le guide de l’utilisateur de Wireshark mais plutôt d’en faire un résumé. En effet l’utilisateur désireux d’aller plus loin pourra se référer à celui-ci.
1. L’installation de Wireshark
L’installation est assez simple : dans un premier temps vous devez installer le « package » WinPcap, puis dans un deuxième temps le package Wireshark.1.1 Installation du package WinPcap
1.2 Installation de Wireshark
Vous pouvez télécharger Wireshark à partir du lien suivant: Wireshark Prenez le fichier le mieux adapté à votre système version 32 ou 64 bits et installez le. C’est toujours très simple (next, I agree, Install ) Ici non plus pas besoin de redémarrer votre machine mais je vous conseille de le faire tout de même c’est parfois utile pour WinPcap !Voila votre sniffer réseau est installé. Un problème lors de l’installation ? Utilisez le forum.2. Premier pas avec Wireshark
Démarrez l’application Wireshark. Si vous n’avez pas choisi l’option Icon Desktop, faites le maintenant créez un raccourci sur votre bureau il vous sera bien utile. Voila comment le sniffer se présente, après avoir choisi votre interface réseau et cliqué sur Start.
La fenêtre est divisée en trois parties.
La première partie est de type général, on y trouve des informations de type adresse IP des machines ou encore protocole utilisé lors de l’échange des données.
La deuxième partie de la fenêtre reprend ici la trame sélectionnée et la détaille soit dans les sept couches du modèles OSI ou dans les quatre couches du modèle IP. Pour plus d’informations à ce sujet des tutoriels sont disponibles sur le net.
La troisième et dernière partie est une vision de la trame en codage hexadécimal.Nous allons voir maintenant comment capturer les trames sur le réseau sur lequel le sniffer est connecté.3. Comment capturer les trames sur le réseau
Allez dans le menu Capture et cliquez sur Options. La fenêtre suivante s’ouvre :
Cochez l’interface sur laquelle vous voulez écouter. Si vous en avez qu’une le choix ne sera pas très difficile.
Par défaut l’espace réservé à la collecte des données est défini à 1MB. Cela devrait être suffisant. Dans le cas contraire augmentez le.
Activer l’option Capture packets in promiscuous mode. En fait cette option permet à la carte réseau de lire et d’intercepter tout le trafic sur le réseau. Dans le cas contraire celle-ci n’interceptera que les trames qui lui sont destinées et ainsi vous ne verrez pas toutes les trames Multicast et Broadcast.
Laissez le champ Capture Filter vide dans un premier temps. Nous verrons par la suite comment le remplir.
Nous ne toucherons pas non plus aux autres options.Il ne vous reste plus qu’à démarrer la capture en cliquant sur Start.Nous prendrons ici une capture de 30 secondes. Cliquez sur Stop. Wireshark affiche les trames vues par la carte réseau dans un format lisible.Sur la première partie de cette fenêtre les différentes trames capturées s’affichent et suivant les colonnes nous avons les informations suivantes :Première colonne : numéro de la trame.
Deuxième colonne : temps écoulé depuis le départ de la capture et l’arrivée de la trame.
Troisième colonne : adresse IP ou nom de la machine émettrice
Quatrième colonne : adresse IP ou nom de la machine réceptrice
Cinquième colonne : protocole utilisé entre les deux machines
Sixième colonne : taille
Septième colonne : informations complémentairesLa quantité de données capturées peut vite devenir considérable, d’autant plus que plusieurs communications peuvent êtres établies en parallèle comme par exemple une connexion à www.google.fr et une autre à www.tplpc.com.
C’est pourquoi nous allons voir comment définir un filtre pour capturer une partie de tout ce que voit la carte réseau.4. Comment définir un filtre pour la capture des trames (Capture Filter)
Allez dans le menu Capture puis Cliquez sur « Filter ». La fenêtre suivante s’ouvre.
Considérons que notre machine ait l’adresse IP 192.168.1.33 .
Nous voulons capturer uniquement les trames échangées entre celle-ci et la machine avec l’adresse IP 145.200.80.45
Pour cela cliquez sur « New ».
Dans le champ « Filter Name » entrez le nom de votre filtre : voisin (par exemple).
Dans le champ « Filter string » entrez la chaîne suivante : host 145.200.80.45
Cliquez maintenant sur « save » et voilà votre filtre est défini vous pouvez cliquez sur « close » pour fermer la fenêtre.Pour connaitre la syntaxe des filtres de Wireshark il suffit de cliquer sur les autres filtres de la liste, on y trouve tous les cas de figure. Pour plus de détail sur la structure des filtres vous pouvez consulter l’aide en appuyant sur la touche F1 et en allant sur l’onglet « Capture Filter »Une autre méthode consiste à capturer toutes les trames dans un premier temps et de filtrer par la suite. L’avantage de cette solution est d’avoir toujours la capture de départ et d’y appliquer par la suite autant de filtres que l’on souhaite. C’est ce que nous allons voir dans le prochain chapitre.5. Comment définir un filtre pour la visualisation des trames (Display Filter)
Essayons d’appliquer le même filtre que précédemment. Dans un premier temps faites une capture sans appliquer de filtre (reportez vous au premier paragraphe). Stoppez la capture. Allez dans le menu « Analyze » et cliquez sur « Display Filters » (accessible aussi directement via l’interface en cliquant sur Filter:)Là vous cliquez sur « New ». Dans le champ « Filter Name » entrez le nom de votre filtre : filtrer (par exemple). Dans le champ « Filter string » entrez la chaîne suivante : ip.addr==145.200.80.45 et cliquez sur « Apply ». Voilà le filtre est appliqué. Si vous voulez le sauvegarder cliquez sur « Save ».
Si maintenant vous voulez l’annuler, effacez la chaîne dans le champ « Filter string » et cliquez de nouveau sur « Apply ».Il existe également une barre « Filter » que vous pouvez (dés)activer en allant dans le menu « View » et en cliquant sur « Filter Toolbar ». Remplissez le champ « Filter » de la même façon que précédemment et cliquez sur « Apply ».Pour revenir à la capture initiale effacez le champ « Filter ».Postez vos questions pour ce tutoriel sur notre forum.
