Tutoriel Wireshark (ex Ethereal)

SharkIl y a quelques mois, le logiciel open-source Ethereal est devenu Wireshark. Derrière ces deux noms se cache un même logiciel graphique de capture et d'analyse réseau qui est la solution idéale si l'interface textuelle de tcpdump vous donnes des boutons. Nous allons, dans ce tutoriel, apprendre à se servir des fonctions de base de ce logiciel.

Installation

Wirshark est disponible sur un nombre très important d'operating system. Rendez-vous sur cette page pour télécharger la dernière version stable. On se retrouve dans quelques minutes...

Description de la fenêtre principale

Première capture

Pour effectuer une capture, il faut aller dans le menu Capture / Interface (ou cliquer sur le bouton correspondant).

Une nouvelle fenêtre comportant la liste des interfaces réseaux disponibles va apparaitre.

Si vous souhaitez configurer certaines options de la capture, il faut Options. On peut alors par exemple ajouter des filtres de captures permettant de ne capturer que des paquets correspondant à votre besoin. Dans l'exemple suivant nous allons seulement capturer les paquets HTTP (c'est-à-dire TCP/80):

Pour démarrer la capture il suffit de presser le bouton Start.

Wireshark va alors capturer les paquets correspondant à votre filtre (s'il existe) jusqu'à ce que le bouton Stop soit pressé.

Analyse de la capture

Une fois la capture achevée, vous allez être redirigé vers la fenêtre principale.

Pour analyser le contenu d'un paquet, il faut d'abord le sélectionner dans la liste des paquets capturés. C'est dans la fenêtre des détails que vous allez trouver des informations intéressantes. Cette fenêtre affiche une ligne (extensible) par couche réseau. On retrouve donc pour notre paquet HTTP, les couches suivantes:

  • couche 2 (Ethernet - MAC)
  • couche 3 (Internet Protocol - IP)
  • couche 4 (Transmission control protocol - TCP)
  • couche 7 (HyperText Transfert Protocol - HTTP)

Pour aller plus en détail, par exemple sur le niveau IP (là où se trouve les adresses source et destination), il suffit de cliquer sur la ligne en question:

On peut donc voir que nous sommes en IP version 4, que l'adresse source est 192.168.29.157 et que la destination est 17.254.17.105.

En regardant un peu plus haut dans la couche réseau HTTP, on découvre que ce paquet correspond au téléchargement du fichier "left.gif" sur le site web www.macports.org, que le logiciel utilisé pour effectuer ce téléchargement est Firefox 2.0.0.4...

Filtrage à l'interieur d'une capture

Souvent, on capture la totalité d'un flux, puis, par la suite, on souhaite se focaliser sur une sous partie plus précise. Wireshark fourni des outils puissants de filtrage. Imaginons que dans votre capture vous souhaitiez afficher seulement les paquets réseaux correspondant au protocole Jabber (GoogleTalk). Il faut pour cela saisir la commande suivante: port dst jabber dans la zone de filtrage et cliquer sur le bouton Apply (ou Appliquer).

La liste des paquets affichera alors seulement ceux correspondant au protocole Jabber.

Ceci n'est qu'un exemple de filtre, pour exploiter à fond le logiciel, je vous conseille la lecture de la documentation officielle.

  • http://www.nicolargo.com NicoLargo

    @LEAG NOMOS: A ma connaissance non… Par contre si vous arrivez à réunir une liste de question, je veux bien faire un nouveau billet sur Wireshark détaillant son utilisation…

  • Babeth guillard

    bonjour,
    A 42 ans, je reprends des études dans l’informatique sur 2 ans avec des UE…comme à la fac ou iut.
    j’ai un projet à rendre sous 3 semaines sur Wireshark, je l’ai monté (dernière version), les explications en “français j’en ai trouvé sur les anciennes, mais ça va je m’adapte. Pour étoffer mon rapport (qui sera noté) j’aimerais avoir les vraies fonctionnalités dans le domaine professionnel…a quoi ça sert en “vrai”, savoir que l’on peut voir le MDP de qqu’1 d’autre ok mais l’essentiel de cet outil sert à bien autre chose de plus important et plus concret…j’ai besoin d’exemples réels dans le monde pro…en avez-vous à me donner ?

    D’avance merci
    Cdlt
    Babeth

  • guillard babeth

    j’espère que vous regardez encore votre site depuis 2007 !! merci d’avance.
    (vraiment besoin d’aide sur le sujet)

    Cdlt

    Babeth

  • http://www.nicolargo.com NicoLargo

    @guillard babeth: je regarde mon site et les commentaire, il suffit de jeter un coups d’oeil sur la home page pour le voir…

    Tout d’abord Wireshark ne sert pas à capturer les mot de passe de son collègue de bureau (bien qu’il soit possible de le faire). C’est avant tout un formidable outils d’audit pour les experts car il permet de décortiquer ce que génère les applications sur le réseau.

    Ainsi, en phase de développement il peut servir à bâtir un profil type de trafic qu’il sera facile d’utiliser pour voir sir le passage à l’échelle se fera sans trop de problème.

    Lors d’une attaque informatique il peut être utile de capturer le trafic pour pouvoir l’analyser à tête reposé. Wireshark fait cela très bien.

    On peut aussi l’utiliser pour identifier d’éventuel problème réseau (boucle, ré-émission de paquets IP…).

    La liste est longue des fonctionnalités de ce logiciel. Il suffit de se rendre sur le Wiki officiel: http://wiki.wireshark.org/.

  • THEO

    merci

  • http://www.aexm.fr/ anima ex machina

    @Nico

    connais tu les commnde / filtres pour détecter/voir les boucles ou ré emission de pacquets ?

    d’autre part, j’ai un pb avec “checksum offload” dont je n’arrive pas à supprimer l’option dans la carte réseau …

    Merci

    Sebastien

  • tabary

    salut,
    Tu as l’air de t’y connaitre pas trop mal là-dedans. En fait, je suis amateur en programmation et je fais de petits développements en vb6. Je voudrais capter le contenu des paquets provenant d’un site de jeu en ligne. Puis si possible, interpréter ces données (mais la c’est assez illisible pour moi) les intégrer dans mon code vb puis envoyer une réponse dans ce meme code. UN bot je crois que ca s’appelle.
    Penses-tu que cela soit réalisable ?
    A l’avance merci

  • Pingback: Internet by fulcanelli - Pearltrees

  • Eric YADON

    Merci c’est vraiment gentil; God bless you

  • jugo

    en peux lire les trame que wirshark intersepte

  • Pingback: Identifier un équipement au sein d’un réseau « micheltutos

  • Warriorprog

    Je ne pariens pas a effacer les bouttons filtres qui se rajoute automatiquement dés que que l ‘on sauve un filtre.
    Pourriez vous m ‘aider ???

  • Pingback: Tutoriel Wireshark (ex Ethereal) - Le blog de NicoLargo | Outils TICE glanés sur le web | Scoop.it

  • Pingback: Réseaux | Pearltrees