Wireshark

De Backtrack-fr
Version du 12 juin 2010 à 13:23 par Binnette (discuter | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)

Sommaire

Introduction

Wireshark (qu'on pourrait franciser par le "requin du réseau") est l'un des outils les plus complets en matière d'audit et d'analyse de données transitant au travers d'un réseau local. Anciennement nommé Ethereal, il permet un contrôle efficace sur les paquets interceptés (filtrage, reconstituer une communication, ...), ce qui permet aux administrateurs réseaux de connaitre la source d'un conflit.

Son atout principal est de fusionner ergonomie et puissance. En effet, Wireshark est simple d'utilisation, et ses possibilités sont nombreuses !

Version actuel : 0.99.6

Wireshark.jpg

Interface utilisateur

La fenêtre principale
Menu "File"

Le menu "File" vous permet d'ouvrir un fichier de trame réseau, de fermer le projet actuel, de fusionner un fichier au projet actuellement ouvert. De façon courante, c'est par ce menu qu'on sauvegardera le projet ouvert, et qu'on l'exportera vers un format externe. Si le bouton croix vous fatigue, vous pourrez toujours fermer le programme par ce menu.

Menu "Edit"

Ce menu est consacré aux recherches et marquages de paquets.

Préférence

Le sous-menu Préférence est important, dans la mesure où c'est le centre des configurations de wireshark. Il est conseillé de le visiter, pour ainsi adapter le programme à vos préférences. A travers celui-ci, vous pourrez disposer les divers panels de l'interface utilisateur, les méthodes d'affichages, les diverses options de sniffing, et aussi la configuration des protocoles. Note : Ces diverses configurations peuvent être retrouvées dans les menus associés.

Menu "View"

Comme souvent, ce menu active ou désactive l'affichage de certaines barres d'affichage. Le format de la date, la colorisation des paquets selon leur type...etc

Menu "Go"

Menu qui permet d'accéder directement à l'information voulue, d'aller en arrière ou en avant, selon ses recherches.

Menu "Capture"

Premier menu important, puisqu'on accède directement aux interfaces réseaux pour lancer le sniffing (cf section Voir le trafic des cartes réseaux), aux options de capture (cf section Options de capture), puis de (re)démarrer/arrêter le sniffing, et d'accéder aux options de filtrage primaire.

Menu "Analyze"

Comme son nom l'indique, ce menu vous permet d'analyser les paquets. Il dispose donc du menu de filtrage "Display Filters" (nous l'appellerons filtrage primaire, car c'est le plus important filtre, qui refuse, ou capture un paquet selon les arguments donnés, nous aurons ensuite un second filtre, n'ayant pas la même fonction) ...

Menu "Statistics"

Avant-dernier menu, qui crée/recherche tout ce qui a trait à des statistiques en ciblant le type de communication/protocole utilisé.

Menu "Help"

Ce menu d'aide, traite globalement du programme, des options, une FAQ est intégrée sur les questions courantes.

Barre d'outil principale

Raccourci vers les différentes options décrites ci-dessus. Passez la souris sur ces boutons pour en connaitre la fonction. Ettercap-ng barreoutil.jpg

Barre de filtrage secondaire

Cette barre de filtrage secondaire permet, une fois les paquets capturés, d'inscrire des expressions de recherche. Ces expressions peuvent permettre par exemple d'afficher les communications vers une machine précise.

Ettercap-ng search.jpg

Fenêtres des paquets

Cette partie vitale, est affichée en plein au milieu. Elle est composée de 3 fenêtres, qui sont liées les unes aux autres.

La première segmente en colonne chaque paquet par une information précise. Par défaut :

  • No : Il s'agit du numéro du paquet (le nombre 1 est attribué au 1er paquet enregistré).
  • Time : Le temps écoulé entre chaque paquet capturé (0 pour le premier).
  • Source : L'IP source, émettrice du paquet.
  • Destination : L'IP de destination, réceptrice du paquet.
  • Protocol : Le protocole utilisé par ce paquet.
  • Info : Informations complémentaires (ports/service, numéro de séquence,...).


La seconde détaille le paquet sélectionné, de nombreuses informations sont proposées. Elle est segmentée dans la plus part des cas, en 4 arbres honrizontaux hiérarchisés.

Note : celà peut légèrement varier selon le protocole

  • Frame : Donne toutes les informations de temps et taille du paquet.
  • Ethernet : Renseigne sur le matériel des auteurs du paquets.
  • IP : Offre des informations sur la couche IP (IP source, IP destination, version, protocole...).
  • TCP : Offre des informations sur la couche TCP (Port source, Port destination,checksum, flag...).


La troisième affiche les données présentes dans le paquet, sous format hexadécimal, et décimal.

Barre de status

Simple barre, donnant des informations sur le projet courant, les statistiques basiques des paquets capturés, affichés, marqués, et effacés.

Ettercap-ng statutbar.jpg

Capturer des paquets

Vous apprendrez ici à démarrer le sniffer, tout en prenant compte des diverses options qu'il propose.

Voir le trafic des cartes réseau

Vous pouvez juste avoir un aperçu du trafic sur chaque carte réseau, à partir du menu "Capture > Interface"

Wireshark2.jpg

Si vous cliquez sur "Start", le sniffing démarre ( On peut aussi y accéder par le menu "Capture > Start" ).
Si vous cliquez sur "Option", vous pourrez accéder aux options du projet ( On pourrait aussi y accéder par le menu "Capture > Option" ).

Les options de capture

(...) Wireshark1.jpg

Les options de filtrage primaire

Wireshark3.jpg

Démarrer une capture de paquet

Le démarrage de la capture se fera au travers du bouton "Start", il est accessible à travers divers menus et options. Quoi qu'il en soit, ce bouton lance le sniffing.

Mode d'affichage

La gestion de fichier

Ouvrir/Sauvegarder des paquets réseaux
Fusionner des fichiers
Exporter les données vers un format

Analyse des paquets

Aperçus des paquets capturés
Filtrer encore ses paquets
Créer des expressions pour le filtrage
Les différents protocoles
  • ARP (Address Resolution Protocol)

Le protocole ARP permet de faire la traduction d'une adresse IP en adresse physique (MAC).

  • DHCPv6
  • DNS (Domain Name Server)

Le protocole DNS traduit le nom de domaine en adresse IP.

  • HTTP (HyperText Transfer Protocol)

Les trames HTTP transitent sur le port 80.

  • ICMP
  • IGMP
  • IRC (Internet Relay Protocol)
  • MSNMS (MSN Messenger Service)
  • RARP (Reverse Address Resolution Protocol)

Le protocole RARP permet de faire la traduction d'un adresse physique (MAC) en adresse IP.

  • SSDP

Les trames SSDP transitent sur le port 1900.

  • TCP (Transmission Control Protocol)
  • UDP (User Datagram Protocol)
Astuces diverses

Liens externes

(en) Site officiel de Wireshark
(en) Le projet Wireshark
(fr) Tutoriel sur Wireshark

Outils personnels