Recherche de site Web

10 conseils sur la façon d'utiliser Wireshark pour analyser les paquets réseau

Dans tout réseau à commutation de paquets, les paquets représentent des unités de données transmises entre ordinateurs. Il est de la responsabilité des ingénieurs réseau et des administrateurs système de surveiller et d'inspecter les paquets à des fins de sécurité et de dépannage.

Pour ce faire, ils s'appuient sur des logiciels appelés analyseurs de paquets réseau, Wireshark étant peut-être le plus populaire et le plus utilisé en raison de sa polyvalence et de sa facilité d'utilisation. De plus, Wireshark vous permet non seulement de surveiller le trafic en temps réel, mais également de l'enregistrer dans un fichier pour une inspection ultérieure.

Lecture connexe : Meilleurs outils de surveillance de la bande passante Linux pour analyser l'utilisation du réseau

Dans cet article, nous partagerons 10 conseils sur la façon d'utiliser Wireshark pour analyser les paquets de votre réseau et espérons que lorsque vous atteindrez la section Résumé, vous serez enclin à l'ajouter à vos favoris.

Installer Wireshark sous Linux

Pour installer Wireshark, sélectionnez le programme d'installation adapté à votre système d'exploitation/architecture sur https://www.wireshark.org/download.html.

En particulier, si vous utilisez Linux, Wireshark doit être disponible directement depuis les référentiels de votre distribution pour une installation plus facile et à votre convenance. Bien que les versions puissent différer, les options et les menus doivent être similaires, voire identiques dans chacun d'eux.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Il existe un bogue connu dans Debian et ses dérivés qui peuvent empêcher la liste des interfaces réseau à moins que vous n'utilisiez sudo pour lancer Wireshark. Pour résoudre ce problème, suivez la réponse acceptée dans cet article.

Une fois Wireshark exécuté, vous pouvez sélectionner l'interface réseau que vous souhaitez surveiller sous Capture :

Dans cet article, nous utiliserons eth0, mais vous pouvez en choisir un autre si vous le souhaitez. Ne cliquez pas encore sur l’interface – nous le ferons plus tard une fois que nous aurons examiné quelques options de capture.

Définition des options de capture

Les options de capture les plus utiles que nous considérerons sont :

  1. Interface réseau – Comme nous l'avons expliqué précédemment, nous analyserons uniquement les paquets arrivant via eth0, qu'ils soient entrants ou sortants.
  2. Filtre de capture – Cette option nous permet d'indiquer le type de trafic que nous souhaitons surveiller par port, protocole ou type.

Avant de passer aux conseils, il est important de noter que certaines organisations interdisent l'utilisation de Wireshark dans leurs réseaux. Cela dit, si vous n'utilisez pas Wireshark à des fins personnelles, assurez-vous que votre organisation autorise son utilisation.

Pour le moment, sélectionnez simplement eth0 dans la liste déroulante et cliquez sur Démarrer sur le bouton. Vous commencerez à voir tout le trafic transitant par cette interface. Pas vraiment utile à des fins de surveillance en raison du grand nombre de paquets inspectés, mais c'est un début.

Dans l'image ci-dessus, nous pouvons également voir les icônes pour lister les interfaces disponibles, pour arrêter la capture en cours et pour la redémarrer (rouge à gauche), et de configurer et modifier un filtre (case rouge à droite). Lorsque vous survolez l'une de ces icônes, une info-bulle s'affichera pour indiquer ce qu'elle fait.

Nous commencerons par illustrer les options de capture, tandis que les conseils #7 à #10 expliqueront comment faire réellement quelque chose d'utile avec une capture.

CONSEIL N°1 – Inspectez le trafic HTTP

Tapez http dans la zone de filtre et cliquez sur Appliquer. Lancez votre navigateur et accédez au site de votre choix :

Pour commencer chaque astuce suivante, arrêtez la capture en direct et modifiez le filtre de capture.

CONSEIL N°2 – Inspectez le trafic HTTP à partir d’une adresse IP donnée

Dans cette astuce particulière, nous ajouterons ip==192.168.0.10&& à la strophe du filtre pour surveiller le trafic HTTP entre l'ordinateur local et 192.168.0.10 :

CONSEIL N°3 – Inspectez le trafic HTTP vers une adresse IP donnée

Étroitement lié à #2, dans ce cas, nous utiliserons ip.dst dans le cadre du filtre de capture comme suit :

ip.dst==192.168.0.10&&http

Pour combiner les astuces #2 et #3, vous pouvez utiliser ip.addr dans la règle de filtrage au lieu de ip.src ou ip.dst.

CONSEIL N°4 – Surveillez le trafic réseau Apache et MySQL

Parfois, vous souhaiterez inspecter le trafic qui correspond à l’une (ou aux deux) conditions. Par exemple, pour surveiller le trafic sur les ports TCP 80 (serveur web) et 3306 (serveur de base de données MySQL/MariaDB), vous pouvez utiliser une condition OR dans le filtre de capture :

tcp.port==80||tcp.port==3306

Dans les astuces #2 et #3, || et le mot ou produisent les mêmes résultats. Idem avec && et le mot et.

CONSEIL N°5 – Rejeter les paquets à l’adresse IP donnée

Pour exclure les paquets ne correspondant pas à la règle de filtrage, utilisez ! et placez la règle entre parenthèses. Par exemple, pour exclure les packages provenant ou étant dirigés vers une adresse IP donnée, vous pouvez utiliser :

!(ip.addr == 192.168.0.10)

CONSEIL N°6 – Surveillez le trafic du réseau local (192.168.0.0/24)

La règle de filtrage suivante affichera uniquement le trafic local et exclura les paquets entrant et sortant d'Internet :

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

CONSEIL N°7 – Surveillez le contenu d’une conversation TCP

Pour inspecter le contenu d'une conversation TCP (échange de données), cliquez avec le bouton droit sur un paquet donné et choisissez Suivre le flux TCP. Une fenêtre apparaîtra avec le contenu de la conversation.

Cela inclura les en-têtes HTTP si nous inspectons le trafic Web, ainsi que toutes les informations d'identification en texte brut transmises au cours du processus, le cas échéant.

CONSEIL N°8 – Modifier les règles de coloration

À présent, je suis sûr que vous avez déjà remarqué que chaque ligne de la fenêtre de capture est colorée. Par défaut, le trafic HTTP apparaît sur un arrière-plan vert avec du texte noir, tandis que les erreurs de somme de contrôle sont affichées en texte rouge. avec un fond noir.

Si vous souhaitez modifier ces paramètres, cliquez sur l'icône Modifier les règles de coloration, choisissez un filtre donné, puis cliquez sur Modifier.

CONSEIL N°9 – Enregistrez la capture dans un fichier

Sauvegarder le contenu de la capture nous permettra de pouvoir l'inspecter avec plus de détails. Pour ce faire, allez dans Fichier → Exporter et choisissez un format d'exportation dans la liste :

CONSEIL N°10 – Entraînez-vous avec des échantillons de capture

Si vous pensez que votre réseau est « ennuyeux », Wireshark fournit une série d'exemples de fichiers de capture que vous pouvez utiliser pour vous entraîner et apprendre. Vous pouvez télécharger ces SampleCaptures et les importer via le menu Fichier → Importer.

Résumé

Wireshark est un logiciel gratuit et open source, comme vous pouvez le voir dans la section FAQ du site officiel. Vous pouvez configurer un filtre de capture avant ou après le démarrage d'une inspection.

Au cas où vous ne l'auriez pas remarqué, le filtre dispose d'une fonction de saisie semi-automatique qui vous permet de rechercher facilement les options les plus utilisées que vous pourrez personnaliser ultérieurement. Avec ça, il n’y a pas de limite !

Comme toujours, n'hésitez pas à nous écrire en utilisant le formulaire de commentaires ci-dessous si vous avez des questions ou des observations sur cet article.