Wireshark est un analyseur de paquets réseau gratuit et open source, multiplateforme, basé sur une interface graphique disponible pour Linux, Windows, MacOS, Solaris, etc. Il capture les paquets réseau en temps réel et les présente dans un format lisible par l'homme. Wireshark nous permet de surveiller les paquets réseau jusqu'au niveau microscopique. Wireshark dispose également d'un utilitaire de ligne de commande appelé 'tshark ' qui exécute les mêmes fonctions que Wireshark mais via le terminal et non via l'interface graphique.
Wireshark peut être utilisé pour le dépannage du réseau, l'analyse, le développement de logiciels et de protocoles de communication et également à des fins éducatives. Wireshark utilise une bibliothèque appelée 'pcap ‘ pour capturer les paquets réseau.
Wireshark est livré avec de nombreuses fonctionnalités et certaines de ces fonctionnalités sont ;
- Prise en charge d'une centaine de protocoles d'inspection,
- Capacité à capturer des paquets en temps réel et à les enregistrer pour une analyse ultérieure hors ligne
- Un certain nombre de filtres pour analyser les données,
- Les données capturées peuvent être compressées et décompressées à la volée,
- Divers formats de fichiers pris en charge pour l'analyse des données, la sortie peut également être enregistrée au format XML, CSV, texte brut,
- les données peuvent être capturées à partir d'un certain nombre d'interfaces telles que Ethernet, Wi-Fi, Bluetooth, USB, relais de trame, anneaux à jeton, etc.
Dans cet article, nous expliquerons comment installer Wireshark sur des machines Ubuntu/Debain et apprendrons également à utiliser Wireshark pour capturer des paquets réseau.
Installation de Wireshark sur Ubuntu 16.04 / 17.10
Wireshark est disponible avec les référentiels Ubuntu par défaut et peut être simplement installé à l'aide de la commande suivante. Mais il est possible que vous n'obteniez pas la dernière version de wireshark.
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Donc, pour installer la dernière version de wireshark, nous devons activer ou configurer le dépôt officiel de wireshark .
Utilisez les commandes ci-dessous l'une après l'autre pour configurer le référentiel et installer la dernière version de l'utilitaire Wireshark
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Une fois Wireshark installé, exécutez la commande ci-dessous afin que les utilisateurs non root puissent capturer des paquets d'interfaces en direct,
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Installation de Wireshark sur Debian 9
Le package Wireshark et ses dépendances sont déjà présents dans les référentiels par défaut de Debian 9, donc pour installer la dernière version stable de Wireshark sur Debian 9, utilisez la commande suivante :
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Lors de l'installation, il nous demandera de configurer dumpcap pour les non-superutilisateurs,
Sélectionnez "Oui", puis appuyez sur Entrée.
Une fois l'installation terminée, exécutez la commande ci-dessous afin que les utilisateurs non root puissent également capturer les paquets en direct des interfaces.
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
Nous pouvons également utiliser le dernier paquet source pour installer le wireshark sur Ubuntu/Debain et de nombreuses autres distributions Linux.
Installation de Wireshark à l'aide du code source sur les systèmes Debian/Ubuntu
Téléchargez d'abord le dernier paquet source (qui est 2.4.2 au moment de la rédaction de cet article), utilisez la commande suivante,
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
Extrayez ensuite le package et entrez dans le répertoire extrait,
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
Nous allons maintenant compiler le code avec les commandes suivantes,
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
Enfin, installez les packages compilés pour installer Wireshark sur le système,
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
Lors de l'installation, un groupe séparé pour Wireshark sera également créé, nous allons maintenant ajouter notre utilisateur au groupe afin qu'il puisse fonctionner avec wireshark, sinon vous pourriez obtenir "autorisation refusée ' erreur lors du démarrage de wireshark.
Pour ajouter l'utilisateur au groupe wireshark, exécutez la commande suivante,
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
Maintenant, nous pouvons démarrer wireshark depuis le menu de l'interface graphique ou depuis le terminal avec cette commande,
[email protected]:~$ wireshark
Accéder à Wireshark sur le système Debian 9
Cliquez sur l'icône Wireshark
Accéder à Wireshark sur Ubuntu 16.04 / 17.10
Cliquez sur l'icône Wireshark
Capturer et analyser des paquets
Une fois que le wireshark a été démarré, nous devrions être présentés avec la fenêtre wireshark, l'exemple est montré ci-dessus pour le système Ubuntu et Debian.
Ce sont toutes les interfaces à partir desquelles nous pouvons capturer les paquets réseau. En fonction des interfaces que vous avez sur votre système, cet écran peut être différent pour vous.
Nous sélectionnons "enp0s3" pour capturer le trafic réseau pour cette interface. Après avoir sélectionné l'interface, les paquets réseau pour tous les appareils de notre réseau commencent à se remplir (reportez-vous à la capture d'écran ci-dessous)
La première fois que nous voyons cet écran, nous risquons d'être submergés par les données qui y sont présentées et nous aurions peut-être pensé à trier ces données, mais ne vous inquiétez pas, l'une des meilleures fonctionnalités de Wireshark est ses filtres.
Nous pouvons trier/filtrer les données en fonction de l'adresse IP, du numéro de port, nous pouvons également utiliser des filtres de source et de destination, la taille des paquets, etc. et pouvons également combiner 2 filtres ou plus pour créer des recherches plus complètes. Nous pouvons soit écrire nos filtres dans "Appliquer un filtre d'affichage ' , ou nous pouvons également sélectionner l'une des règles déjà créées. Pour sélectionner un filtre prédéfini, cliquez sur 'flag " , à côté de " Appliquer un filtre d'affichage ' onglet,
Nous pouvons également filtrer les données en fonction du codage couleur. Par défaut, le violet clair correspond au trafic TCP , le bleu clair correspond au trafic UDP , et le noir identifie les paquets contenant des erreurs , pour voir la signification de ces codes, cliquez sur Afficher -> Règles de coloration , nous pouvons également modifier ces codes.
Après avoir obtenu les résultats dont nous avons besoin, nous pouvons cliquer sur l'un des paquets capturés pour obtenir plus de détails sur ce paquet, cela affichera toutes les données sur ce paquet réseau.
Wireshark est un outil extrêmement puissant qui prend un certain temps pour s'y habituer et en faire une commande, ce tutoriel vous aidera à démarrer. N'hésitez pas à nous faire part de vos questions ou suggestions dans la zone de commentaires ci-dessous.