GNU/Linux >> Tutoriels Linux >  >> Linux

Comment interpréter les informations Wireshark capturées

Wireshark est un analyseur de protocole réseau GUI. Il vous permet de parcourir de manière interactive les données de paquets à partir d'un réseau en direct ou d'un fichier de capture précédemment enregistré. Il vous permet de voir ce qui se passe sur votre réseau à un niveau microscopique.

TShark est une version orientée terminal de Wireshark conçue pour capturer et afficher des paquets lorsqu'une interface utilisateur interactive n'est pas nécessaire ou disponible. Il prend en charge les mêmes options que Wireshark. Sur son site Web, Wireshark décrit son riche ensemble de fonctionnalités comme suit :

  • Inspection approfondie de centaines de protocoles, et d'autres sont ajoutés en permanence
  • Capture en direct et analyse hors ligne
  • Multi-plateforme :fonctionne sur Windows, Linux, macOS, Solaris, FreeBSD, NetBSD et bien d'autres
  • Les filtres d'affichage les plus puissants du secteur
  • Analyse VoIP enrichie
  • Lire/écrire de nombreux formats de fichiers de capture différents :tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor et bien d'autres
  • Les fichiers de capture compressés avec gzip peuvent être décompressés à la volée
  • Les données en direct peuvent être lues à partir d'Ethernet, IEEE 802.11, Bluetooth, USB et autres (selon votre plate-forme)
  • Prise en charge du décryptage pour de nombreux protocoles, y compris IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP et WPA/WPA2
  • Des règles de coloration peuvent être appliquées à la liste de paquets pour une analyse rapide et intuitive
  • La sortie peut être exportée au format XML, PostScript, CSV ou texte brut

Installation

Wireshark peut être installé avec les commandes simples standard.

Sur Red Hat Enterprise Linux (RHEL) 7 :

yum install wireshark 

Sur Red Hat Enterprise Linux (RHEL) 8 :

dnf install wireshark

Cas d'utilisation

Sans aucune option définie, TShark fonctionne un peu comme tcpdump. Il utilise le pcap bibliothèque pour capturer le trafic de la première interface réseau disponible et affiche une ligne récapitulative sur la sortie standard de chaque paquet reçu.

Avant de commencer toute capture, nous devons définir quelles interfaces sur notre serveur TShark peut utiliser. Vous devrez peut-être utiliser sudo ou un accès root dans ce cas.

[ Vous pourriez également aimer : Mes 5 outils d'administration système Linux préférés ]

Pour obtenir ces informations, vous devrez exécuter la commande ci-dessous :

# tshark –D

Un exemple de sortie est ci-dessous :

[root@server ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. usbmon1
5. any
6. lo (Loopback)

Si nous voulions capturer le trafic sur eth0 , nous pourrions l'appeler avec cette commande :

tshark -i eth0

Exemple de sortie :

[root@server ~]# tshark -i eth0
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=1 Win=508 Len=0
  2 0.103588364 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=81 Win=508 Len=0
  3 0.690499219 173.212.240.3 -> 255.255.255.255 DHCP 362 DHCP ACK      - Transaction ID 0x6b443d32
  4 0.819279418 207.180.200.5 -> 41.242.139.31 TCP 342 tcoaddressbook > 61513 [PSH, ACK] Seq=81 Ack=1 Win=283 Len=288
  5 0.987663435 45.77.145.115 -> 207.180.200.5 TCP 60 wso2esb-console > https [SYN] Seq=0 Win=5840 Len=0
  6 0.987758650 207.180.200.5 -> 45.77.145.115 TCP 54 [TCP ACKed unseen segment] https > wso2esb-console [ACK] Seq=1 Ack=316217230 Win=29200 Len=0
  7 1.001310441 207.180.200.5 -> 45.77.145.115 TCP 58 [TCP ACKed unseen segment] [TCP Retransmission] https > wso2esb-console [SYN, ACK] Seq=0 Ack=316217230 Win=29200 Len=0 MSS=1460
  8 1.002550877 41.242.139.31 -> 207.180.200.5 TCP 60 61513 > tcoaddressbook [ACK] Seq=1 Ack=369 Win=513 Len=0
  9 1.014391846 207.180.200.5 -> 80.237.128.149 NTP 90 NTP Version 4, client
 10 1.039819501 80.237.128.149 -> 207.180.200.5 NTP 90 NTP Version 4, server

Les paquets ci-dessus sont indiqués par des nombres au début de la ligne.

Ces lignes incluent deux adresses IP de chaque côté d'une flèche :ce sont les hôtes qui échangent le paquet. La direction de la flèche indique dans quelle direction le paquet va. Par conséquent, 41.242.139.31 -> 207.180.200.5 signifie que le paquet provient de l'hôte 41.242.139.31 , qui est mon ordinateur, et se dirige vers la destination 207.180.200.5 , qui est le serveur distant sur lequel TShark est installé. Mon ordinateur essaie de se connecter à ce serveur, il passe donc par la poignée de main TCP.

Voici une explication de base du fonctionnement de TShark :il capture tout le trafic initié vers et depuis le serveur sur lequel il est installé. Grâce à la puissance du filtrage de TShark, nous pouvons afficher le trafic qui nous intéresse.

Nous pouvons également limiter la sortie de la capture à des lignes spécifiques. Par exemple, si nous voulons limiter la sortie à 10 lignes, nous utiliserons la commande ci-dessous :

# tshark -i eth0 -c 10

Capturer le trafic vers et depuis un hôte

Nous pouvons filtrer le trafic provenant d'un hôte spécifique. Par exemple, pour trouver le trafic en provenance et à destination de 8.8.8.8 , nous utilisons la commande :

# tshark -i eth0 -c 10 host 8.8.8.8

Pour le trafic provenant de 8.8.8.8 :

# tshark -i eth0 src host 8.8.8.8

Pour le trafic vers 8.8.8.8 :

# tshark -i eth0 dst host 8.8.8.8

Exemple de sortie :

[root@server2 ~]# tshark -i eth0 -c 10 host 8.8.8.8
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000      8.8.8.8 -> 207.180.229.97 DNS 185 Standard query response 0x8d7a No such name
  2 0.004498954      8.8.8.8 -> 207.180.229.97 DNS 184 Standard query response 0x2302 No such name
  3 0.024649288      8.8.8.8 -> 207.180.229.97 DNS 146 Standard query response 0x24d2 No such name
  4 0.125434062      8.8.8.8 -> 207.180.229.97 DNS 125 Standard query response 0xf89a  NS ns1.mail.rhsblmail.com NS ns2.mail.rhsblmail.com
  5 0.138280488      8.8.8.8 -> 207.180.229.97 DNS 105 Standard query response 0x1d17  MX 10 mail.rhsblmail.com
  6 0.143231852      8.8.8.8 -> 207.180.229.97 DNS 134 Standard query response 0xc774  NS ns1.hongkongserver.net NS ns2.hongkongserver.net
  7 0.144433854      8.8.8.8 -> 207.180.229.97 DNS 99 Standard query response 0x4682  A 119.8.46.109
  8 0.201845674      8.8.8.8 -> 207.180.229.97 DNS 150 Standard query response 0xfb47 No such name
  9 0.205827278 207.180.229.97 -> 8.8.8.8      DNS 72 Standard query 0x74e3  MX dalcargo.net
 10 0.482611966      8.8.8.8 -> 207.180.229.97 DNS 102 Standard query response 0x74e3  MX 0 mx.sinanet.com

Dans la sortie ci-dessus, nous voyons le trafic provenant et allant vers 8.8.8.8 . L'hôte 8.8.8.8 donne des réponses au serveur 207.180.229.97 sur les requêtes qu'il a lancées précédemment.

Capturer le trafic vers et depuis un réseau

Nous pouvons également capturer le trafic vers et un réseau spécifique. Pour cela, nous utilisons la commande ci-dessous :

# tshark -i eth0 net 10.1.0.0 mask 255.255.255.0

ou

# tshark -i eth0 net 10.1.0.0/24

Nous pouvons également filtrer en fonction de la source ou de la destination.

Basé sur la source (trafic provenant de) :

# tshark -i eth0 src net 10.1.0.0/24

En fonction de la destination (trafic vers) :

# tshark -i eth0 dst net 10.1.0.0/24

Capturer le trafic vers et depuis les numéros de port

Voici de nombreuses autres variantes.

Capturez uniquement le trafic DNS du port 53 :

# tshark -i eth0 port 53

Pour un hébergeur spécifique :

# tshark -i eth0 host 8.8.8.8 and port 53

Capturez uniquement le trafic HTTPS :

# tshark -i eth0 -c 10 host www.google.com and port 443

Capturez tous les ports sauf les ports 80 et 25 :

tshark -i eth0 port not 53 and not 25

Enregistrer la sortie dans un fichier

Nous pouvons enregistrer la sortie de notre capture dans un fichier à lire plus tard. Les versions ultérieures de Wireshark enregistrent la sortie dans le pcapng par défaut. Cependant, nous pouvons également enregistrer dans d'autres formats. Pour vérifier le format pris en charge, exécutez la commande ci-dessous :

# tshark -F

Pour enregistrer la sortie, nous utilisons le -w interrupteur. Utilisation du -w switch fournit des données de paquets brutes, pas de texte. Si vous voulez une sortie texte, vous devez rediriger stdout (par exemple, en utilisant > ). N'utilisez pas le -w option pour cela.

Pour enregistrer une capture sous un nom de fichier http_capture.pcapng :

# tshark -i eth0 -c 10 port 80 -w http_capture.pcapng

Nous pouvons économiser en pcap format, qui peut être lu par tcpdump et les anciennes versions de Wireshark :

# tshark -i eth0 -c 10 port 80 -w http.pcap -F libpcap

[ Vous voulez en savoir plus sur la sécurité ? Consultez la liste de vérification de la sécurité informatique et de la conformité. ] 

Récapitulez

TShark est un outil complet que les administrateurs système doivent ajouter à leur ensemble d'outils. Il s'agit de la première partie d'une série en deux parties. Dans la deuxième partie, nous examinerons des filtres plus avancés et comment nous pouvons rendre la sortie plus lisible.


Linux

  1. Comment installer Wireshark sur Fedora 35

  2. Comment installer Wireshark sur Linux Mint 20

  3. Comment vérifier vos informations PHP

  4. Comment vérifier les informations du serveur dans cPanel

  5. CentOS / RHEL :Comment collecter sosreport

Comment installer Wireshark sur CentOS 8

Comment vérifier les informations du processeur sous Linux

Comment afficher les informations sur le matériel sous Linux

Comment afficher les informations sur la batterie sous Linux

Comment installer Wireshark sur Ubuntu 18.04

Comment installer Wireshark sur Ubuntu 20.04