Logo fra.sync-computers.com
Android

Explorez votre réseau avec Wirehark

Table des matières:

Vidéo: Ecouter une conversation téléphonique - Formation Sécurité Voix sur IP (Janvier 2025)

Vidéo: Ecouter une conversation téléphonique - Formation Sécurité Voix sur IP (Janvier 2025)
Anonim

Qu'est-ce que Wireshark?

Liens rapides

  • Qu'est-ce que Wireshark?
  • Installer Wireshark
    • les fenêtres
    • Mac
    • Linux
  • L'interface
  • Options de capture
  • Capturer le trafic
  • Lecture des données
  • Filtrage des paquets
    • Filtrage pendant la capture
    • Filtrage des résultats
  • Suivre les flux de paquets
  • Pensées de clôture

Wireshark est un puissant outil d'analyse de réseau qui vous permet de surveiller et de capturer le trafic réseau. Il capture le trafic au niveau des paquets, ce qui signifie que vous pouvez voir chaque bit d’information transmis sur votre réseau, son contenu et son acheminement.

Cet outil vous permet de visualiser et de comprendre le flux de trafic au sein d’un réseau. En voyant quelles données sont transmises, vous pouvez également avoir une idée des problèmes de sécurité potentiels que vous pourriez rencontrer, ainsi que des trafics potentiellement indésirables, tels que les logiciels malveillants, les programmes qui accumulent de la bande passante et même les invités indésirables sur votre réseau WiFi.

Wireshark est également un outil important, car il vous permet de voir exactement comment les données quittant votre réseau sont envoyées vers le grand réseau Internet. Par exemple, vous pouvez voir et lire les demandes HTTP, ce qui vous permet de voir quelles données sont envoyées non chiffrées. Cela pourrait être une très grosse affaire, surtout si ces données ressemblent à un mot de passe bancaire.

Installer Wireshark

Wireshark est open source et multiplateforme. Il est disponible gratuitement et pour tous les principaux systèmes d'exploitation. Les contrôles dans le programme sont exactement les mêmes sur toutes les plates-formes, vous n'avez donc pas à vous inquiéter. Les images proviennent de Linux, mais tout ce que vous verrez fonctionnera également sous Windows et Mac.

les fenêtres

Accédez à la page de téléchargement de Wireshark et téléchargez la dernière version pour votre version de Windows. Exécutez le fichier .exe résultant. L'installateur est assez standard. Vous pouvez cliquer sur presque tout et utiliser les valeurs par défaut.

Cependant, il y a une chose que vous voulez surveiller. Un écran apparaîtra vous demandant si vous souhaitez installer WinPcap. WinPcap est un utilitaire supplémentaire pour Wireshark sous Windows qui lui permet de capturer tout le trafic sur un réseau, plutôt que le seul trafic de votre ordinateur. Cochez la case pour installer WinPcap. Il vous posera également des questions sur la version USB. Ce n'est pas nécessaire, mais vous pouvez aussi l'inclure.

Après cela, l'installation sera terminée. Une nouvelle installation va démarrer pour WinPcap. Les valeurs par défaut sont acceptables là aussi.

Mac

Accédez à la page de téléchargement de Wireshark et récupérez le dernier fichier .dmg. Une fois le téléchargement terminé, double-cliquez sur le fichier pour l'ouvrir. Faites glisser l'application ouverte dans votre dossier / Applications pour installer Wireshark.

Linux

Wireshark est disponible dans la plupart des distributions Linux. Installez-le avec votre gestionnaire de paquets.

$ sudo apte installer wireshark-gtk

En fonction de votre distribution, vous serez invité à indiquer si vous souhaitez autoriser des utilisateurs réguliers à capturer des paquets. Vous devriez dire «Oui». Une fois le paquet installé, ajoutez votre utilisateur au groupe Wireshark. Déconnectez-vous et reconnectez-vous lorsque vous avez terminé.

$ sudo gpasswd - un utilisateur wirehark

L'interface

Lorsque vous ouvrez Wireshark pour la première fois, vous verrez un écran similaire à celui ci-dessus. Il y a pas mal de boutons ci-dessus dans les barres d’outils, et cela peut sembler écrasant, mais c’est beaucoup plus simple que vous ne le pensez probablement.

L'interface de capture par défaut est un peu maladroite. Vous pouvez changer la disposition pour la rendre plus confortable, cliquez sur «Modifier». Recherchez le menu «Préférences» et le bas, puis ouvrez-le. Sous les préférences, vous verrez un onglet «Disposition» à gauche. Sélectionnez le. Vous verrez plusieurs icônes illustrant différentes options de disposition. Choisissez celui qui vous convient le mieux. La première option avec la disposition empilée fonctionne généralement bien.

Ne vous inquiétez pas trop des barres d'outils pour le moment. Les cinq premières icônes sont les plus importantes. Dans l'ordre, ils vous permettent de sélectionner une interface sur laquelle effectuer la capture, de modifier les paramètres de capture, de démarrer une capture, de l'arrêter et de la reprendre. Les icônes elles-mêmes sont assez intuitives.

Options de capture

Avant de commencer à capturer du trafic, vous devez explorer les options de capture pour voir ce que Wireshark peut faire. Cliquez sur l'icône des options de capture. Cela devrait ressembler à un engrenage.

La première chose que vous verrez en haut de la fenêtre est un tableau répertoriant toutes vos interfaces réseau. Cochez la case en regard de l'interface que vous souhaitez capturer. Dans la plupart des cas, l'interface que vous souhaitez utiliser est celle que vous utilisez pour vous connecter au réseau. Ce sera celui qui correspond à votre port Ethernet ou à votre périphérique WiFi.

En dessous, vous verrez deux cases à cocher. On vous demandera si vous voulez utiliser le mode promiscuous. Le mode Promiscuous vous permet de voir les échanges entre tous les périphériques d’un réseau, pas seulement votre propre ordinateur. Les chances sont, vous voulez cela activé. Soyez prudent, cependant. L'utilisation du mode promiscuous sur un réseau que vous ne possédez pas ou que vous n'avez pas la permission de tester est illégale .

La section suivante couvre les fichiers de capture. Wireshark vous permet de sauvegarder vos données capturées. Le premier champ vous permet de spécifier une seule destination pour votre capture. En dessous, vous pouvez cocher la case pour permettre à Wireshark de décomposer le journal de capture. Les journaux peuvent devenir très volumineux, en particulier sur les grands réseaux. Cette fonctionnalité vous permet de fractionner automatiquement vos données de capture en fonction de la durée ou de la taille du fichier. Dans les deux cas, il s’agit d’une fonction pratique pour les analyses à long terme ou les réseaux surchargés.

En dessous, vous pouvez contrôler la durée de votre capture. Encore une fois, les captures peuvent devenir volumineuses, vous pouvez donc définir une taille maximale. Vous pouvez également le vérifier, ce qui est agréable, car il vous permet de prendre un instantané d'une période spécifique sur votre réseau.

Capturer le trafic

Une fois que vous avez défini vos paramètres, vous pouvez commencer à capturer le trafic sur votre réseau. Si vous n'avez jamais fait ce genre de chose auparavant, préparez-vous à être surpris. Il y a beaucoup plus de trafic que vous ne le savez circuler sur votre réseau. Pour démarrer la capture, cliquez sur le bouton "Démarrer" en bas de la fenêtre de configuration ou sur l'icône de la nageoire de requin. De toute façon fonctionne.

Lorsque vous commencez à enregistrer, la quantité de trafic que vous voyez dépend des appareils présents sur votre réseau. Bien que la plupart des gens ne puissent pas suivre la charge de trafic qu'ils voient, il est tout à fait possible que vous ne voyiez presque rien. Si tel est le cas, ouvrez un navigateur Web et commencez à naviguer. Votre capture va rapidement commencer à peupler.

Une fois la capture exécutée pendant le temps que vous souhaitez tester, cliquez sur le bouton Arrêter de la barre d’outils. Ce que vous avez devrait ressembler à l'image ci-dessus.

Lecture des données

Cliquez sur l'un des paquets que vous avez capturés. Essayez de trouver une requête HTTP. Ils ont tendance à être plus facile à lire. Lorsque vous sélectionnez un paquet, les deux autres sections de l'écran sont remplies d'informations sur celui que vous avez sélectionné.

La section sur laquelle vous devez prêter attention contient des onglets pliables empilés. Ces onglets suivent le modèle OSI et sont classés du niveau le plus bas au plus élevé avec les informations de niveau le plus bas en haut. Cela signifie que les informations les plus pertinentes pour vous se trouvent probablement dans les onglets du bas.

Chaque onglet contient des informations différentes sur le paquet. Dans les paquets HTTP, vous verrez des informations sur la requête HTTP, y compris la réponse, les en-têtes et peut-être même du HTML. D'autres types de paquets peuvent contenir des informations sur les ports utilisés, le cryptage utilisé, les protocoles et les adresses MAC.

Filtrage des paquets

Il peut être difficile de trouver des données de capture pour trouver exactement ce que vous recherchez. C'est inefficace et c'est une énorme perte de temps. Wireshark possède une fonctionnalité de filtrage qui vous permet de trier rapidement les paquets pour trouver exactement ce qui est pertinent à un moment donné.

Wireshark vous permet de filtrer les résultats de plusieurs manières. Tout d'abord, il a beaucoup de filtres intégrés. Lorsque vous commencez à saisir l'un des champs de filtre, Wireshark les affiche en tant que suggestions pour la complétion automatique. Si vous recherchez l'un de ces objectifs, c'est parfait! Le filtrage sera très facile.

Wireshark utilise également ce qu'on appelle des opérateurs booléens. Les opérateurs booléens sont utilisés pour évaluer si une déclaration est vraie ou non. Par exemple, lorsque vous souhaitez que deux conditions soient remplies, vous devez utiliser l'opérateur «et» entre elles car les conditions 1 et 2 doivent toutes deux être vraies. L'opérateur «ou» est similaire, mais il suffit que l'une de vos conditions soit vraie. Vous pouvez probablement deviner que l'opérateur “not” recherche quand une condition n'existe pas.

Outre les opérateurs booléens, Wireshark prend en charge les opérateurs de comparaison. Comme son nom l'indique, les opérateurs de comparaison comparent deux conditions ou plus. Ils évaluent l'équivalence des conditions comme supérieure, inférieure ou égale à.

Filtrage pendant la capture

Filtrer vos résultats lors de la capture est très facile. Ouvrez sauvegarder les options de capture. Recherchez le bouton «Options de capture» vers le milieu de la fenêtre. Il devrait également y avoir un grand champ de texte à côté.

Vous pouvez construire votre filtre à partir de zéro dans ce champ ou vous pouvez cliquer sur le bouton et utiliser les filtres intégrés de Wireshark. Essayez de cliquer sur le bouton. Une nouvelle fenêtre s'ouvrira avec une liste de filtres. Un clic sur ces filtres remplit les champs ci-dessous. Le champ du bas est le filtre utilisé. Vous pouvez modifier ce filtre comme base de vos propres filtres plus personnalisés. Lorsque vous êtes prêt, cliquez sur «Ok». Ensuite, lancez l’analyse comme vous le feriez normalement. Au lieu de tout capturer, Wireshark ne capturera que les paquets répondant aux conditions de votre filtre. Cela facilite beaucoup le tri et la catégorisation des données de vos paquets. Vous n'avez pas besoin de chercher beaucoup d'informations supplémentaires pour trouver ce dont vous avez besoin.

Filtrage des résultats

Si vous avez effectué une capture complète ou une capture plus robuste, mais que vous souhaitez filtrer après, vous pouvez également le faire. Après avoir effectué une capture, une barre d’outils supplémentaire apparaît sous les icônes de contrôle. Cette barre d'outils comporte un champ "Filtre". Vous pouvez taper des expressions dans ce fichier pour filtrer les résultats affichés par Wireshark.

Comme avec le filtrage lors de la capture, il existe un moyen simple. Cliquez sur le bouton «Expression» pour ouvrir une fenêtre vous permettant de rassembler vos expressions de filtre. La colonne de gauche contient une liste de champs. Ces champs vous permettent de choisir les informations que vous souhaitez cibler. La colonne suivante contient une liste de relations possibles. La plupart sont des symboles pour inférieur à, supérieur à, égal à, et des combinaisons de ceux-ci. La dernière colonne est pour les valeurs. Ce sont les valeurs que vous comparez à. En fonction de votre champ, vous pouvez choisir ou écrire la valeur à laquelle vous souhaitez comparer.

Celles-ci peuvent devenir plus complexes et vous pouvez ajouter plus d'expressions ensemble. Cela tombe sur les opérateurs booléens. Ces booléens sont différents, cependant. Ce champ d'expression utilise les symboles pour et, ou, et non à la place des mots eux-mêmes. || signifie “ou.” && est “et”. Un simple! n'est pas."

Par exemple, si vous voulez tout sauf UDP, utilisez! Udp. Si vous voulez HTTP ou TCP, essayez http || tcp. Vous pouvez aussi les combiner dans des expressions plus complexes. Plus votre expression devient complexe, plus votre filtre sera raffiné.

Suivre les flux de paquets

Une fois que vous avez un ou plusieurs paquets qui vous intéressent, vous pouvez utiliser un formidable outil intégré à Wireshark pour suivre toute la «conversation» entre les deux ordinateurs échangeant ces paquets. Suivre les flux de paquets permet à Wirshark de tout assembler et d’obtenir une image plus grande. Dans le cas de paquets HTTP, Wireshark rassemblera probablement la source HTML d'une page Web. Avec certains programmes VOIP non chiffrés, Wireshark peut même récupérer le son échangé. Oui, il peut réellement écouter les conversations VOIP.

Faites un clic droit sur un paquet que vous souhaitez suivre. Sélectionnez «Suivre… Flux», les points étant remplacés par le protocole du paquet. Il faudra quelques secondes à Wireshark pour tout coudre. Une fois terminé, Wireshark vous présentera le résultat final. Cette fonctionnalité facilite considérablement la visualisation de ce qui est échangé sur votre réseau. Cela montre également à quel point le cryptage réseau est important, dans la mesure où cette fonctionnalité ne résout que le non-sens total avec les paquets cryptés.

Pensées de clôture

Wireshark est un outil absolument génial en analyse de réseau. Il vous permet de voir tout ce qui se passe sur votre réseau. Avec Wireshark, vous pouvez mieux comprendre où se situent les problèmes de votre réseau, à la fois en termes de vitesse et de sécurité. N'oubliez pas de toujours utiliser Wireshark avec précaution et de comprendre que c'est très intrusif. N'espionnez pas les gens et n'oubliez pas de conserver votre utilisation de Wireshark dans les limites de la loi.

Explorez votre réseau avec Wirehark

Le choix des éditeurs

Comment vérifier la présence de rootkits sur votre Mac

Si votre Mac agit de manière étrange et que vous suspectez un rootkit, vous devrez vous mettre au travail en téléchargeant et en scannant avec plusieurs outils différents. Il est à noter que vous pourriez avoir un rootkit installé sans même le savoir

Comment rendre la fonctionnalité de navigation privée de Safari&8217;s réellement privée

Dès que vous ouvrez votre navigateur Web, toutes vos activités en ligne peuvent être (et sont) suivies. Les sites que vous visitez, les choses que vous achetez en ligne et les services auxquels vous vous connectez

Comment convertir un fichier MP3 ou M4A en sonnerie iPhone

Alors qu'est-ce qu'une sonnerie iPhone de toute façon. Eh bien, en fait, c'est simplement un iTunes ordinaire

8 raccourcis clavier OS X utiles

Apple est le choix incontournable pour les utilisateurs qui souhaitent être plus productifs et plus efficaces, et pour cause. Après tout, macOS est équipé de nombreux raccourcis clavier qui facilitent le travail

Raccourcis clavier Mac lorsque votre Mac se bloque

Les Mac étant parmi les ordinateurs les plus fiables, peu d'utilisateurs ont l'impression de ressentir ce sentiment lorsque vous voyez le rouet de la mort sur l'écran. Mais lorsque cela se produit et que votre ordinateur se bloque, il est bon d'avoir la possibilité d'utiliser le bon raccourci clavier pour résoudre le problème.

Premiers pas avec Subversion en utilisant SvnX

Si vous êtes développeur, un logiciel de contrôle de version vous permet de suivre les modifications apportées à votre code. Ceci est essentiel sur les projets où vous travaillez en équipe, vous permettant de suivre les changements au fur et à mesure qu'ils se produisent