Nous avons déjà décrit l’utilisation de base de Wireshark. Veillez donc à lire notre article original pour une introduction à ce puissant outil d’analyse de réseau.
Résolution de nom de réseau
Lors de la capture de paquets, il peut être gênant que Wireshark n’affiche que les adresses IP. Vous pouvez convertir les adresses IP en noms de domaine vous-même, mais cela n’est pas très pratique.
Vous pouvez activer ce paramètre en ouvrant la fenêtre de préférences de modifier -> Préférencesen cliquant sur Résolution de nom panneau et en cliquant sur le bouton “Activer la résolution de noms de réseau”Case à cocher.
Commencer à capturer automatiquement
Vous pouvez créer un raccourci spécial en utilisant les arguments de ligne de commande de Wirshark si vous souhaitez commencer à capturer les paquets sans délai. Vous aurez besoin de connaître le numéro de l'interface réseau que vous souhaitez utiliser, en fonction de l'ordre dans lequel Wireshark affiche les interfaces.
Créez une copie du raccourci Wireshark, cliquez dessus avec le bouton droit de la souris, allez dans la fenêtre Propriétés et modifiez les arguments de la ligne de commande. Ajouter - i # -k à la fin du raccourci, en remplaçant # avec le numéro de l'interface que vous souhaitez utiliser. L'option -i spécifie l'interface, tandis que l'option -k indique à Wireshark de commencer à capturer immédiatement.
wireshark -i # -k
Pour plus de raccourcis en ligne de commande, consultez la page de manuel de Wireshark.
Capture du trafic d'ordinateurs distants
Wireshark capture le trafic à partir des interfaces locales de votre système par défaut, mais ce n’est pas toujours l’emplacement à partir duquel vous souhaitez effectuer la capture. Par exemple, vous souhaiterez peut-être capturer le trafic depuis un routeur, un serveur ou un autre ordinateur situé à un emplacement différent du réseau. C’est là que la fonctionnalité de capture à distance de Wireshark entre en jeu. Cette fonctionnalité n’est disponible que sous Windows pour le moment. La documentation officielle de Wireshark recommande aux utilisateurs de Linux d’utiliser un tunnel SSH.
Tout d'abord, vous devrez installer WinPcap sur le système distant. WinPcap étant fourni avec Wireshark, vous n’avez donc pas besoin d’installer WinPCap si Wireshark est déjà installé sur le système distant.
Une fois qu’il n’a pas été mis en attente, ouvrez la fenêtre Services de l’ordinateur distant - cliquez sur Démarrer, tapez services.msc dans le champ de recherche du menu Démarrer et appuyez sur Entrée. Localisez le Protocole de capture de paquets à distance service dans la liste et le démarrer. Ce service est désactivé par défaut.
Clique le Option de captures dans Wireshark, puis sélectionnez Éloigné de la boîte d'interface.
Entrez l'adresse du système distant et 2002 comme le port. Vous devez avoir accès au port 2002 sur le système distant pour vous connecter. Vous devrez donc peut-être ouvrir ce port dans un pare-feu.
Une fois la connexion établie, vous pouvez sélectionner une interface sur le système distant dans la liste déroulante Interface. Cliquez sur Début après avoir sélectionné l'interface pour démarrer la capture à distance.
Wireshark dans un terminal (TShark)
Si vous n’avez pas d’interface graphique sur votre système, vous pouvez utiliser Wireshark à partir d’un terminal avec la commande TShark.
Tout d'abord, émettez le tshark -D commander. Cette commande vous donnera les numéros de vos interfaces réseau.
Une fois que vous avez, lancez le tshark -i # commande en remplaçant # par le numéro de l'interface que vous souhaitez capturer.
TShark agit comme Wireshark, imprimant le trafic capturé vers le terminal. Utilisation Ctrl-C quand vous voulez arrêter la capture.
Imprimer les paquets sur le terminal n’est pas le comportement le plus utile. Si nous voulons examiner le trafic plus en détail, TShark peut le vider dans un fichier que nous pourrons inspecter ultérieurement. Utilisez cette commande à la place pour vider le trafic dans un fichier:
tshark -i # -w filename
TShark ne vous montrera pas les paquets au fur et à mesure de leur capture, mais les comptera au fur et à mesure de leur capture. Vous pouvez utiliser le Fichier -> Ouvrir option dans Wireshark pour ouvrir le fichier de capture ultérieurement.
Pour plus d’informations sur les options de ligne de commande de TShark, consultez sa page de manuel.
Création de règles ACL de pare-feu
Si vous êtes un administrateur réseau responsable d’un pare-feu et que vous utilisez Wireshark pour fouiller, vous souhaiterez peut-être prendre des mesures en fonction du trafic que vous voyez, par exemple pour bloquer un trafic suspect. Wireshark Règles ACL de pare-feu Cet outil génère les commandes dont vous aurez besoin pour créer des règles de pare-feu sur votre pare-feu.
Commencez par sélectionner le paquet sur lequel vous souhaitez créer une règle de pare-feu en cliquant dessus. Après cela, cliquez sur le bouton Outils menu et sélectionnez Règles ACL de pare-feu.
Utilisez le Produit menu pour sélectionner votre type de pare-feu. Wireshark prend en charge Cisco IOS, différents types de pare-feu Linux, y compris iptables, et le pare-feu Windows.
Vous pouvez utiliser le Filtre pour créer une règle basée sur l’adresse MAC, l’adresse IP, le port du système ou à la fois l’adresse IP et le port. Il est possible que moins d'options de filtrage soient définies en fonction de votre pare-feu.
Par défaut, l'outil crée une règle qui refuse le trafic entrant. Vous pouvez modifier le comportement de la règle en décochant la case correspondante. Entrant ou Nier cases à cocher. Après avoir créé une règle, utilisez la commande Copie bouton pour le copier, puis exécutez-le sur votre pare-feu pour appliquer la règle.
Voulez-vous que nous écrivions quelque chose de spécifique sur Wireshark dans le futur? Faites-nous savoir dans les commentaires si vous avez des demandes ou des idées.