Wireshark a quelques astuces dans sa manche, de la capture du trafic distant à la création de règles de pare-feu basées sur les paquets capturés. Poursuivez votre lecture pour obtenir des conseils plus avancés si vous souhaitez utiliser Wireshark comme un pro.
Nous avons déjà couvert l’utilisation de base de Wireshark, alors assurez-vous de lire notre article original pour une introduction à ce puissant outil d’analyse de réseau.
Résolution de nom de réseau
Lors de la capture de paquets, vous pourriez être ennuyé par le fait que Wireshark n’affiche que les adresses IP. Vous pouvez convertir vous-même les adresses IP en noms de domaine, mais ce n’est pas très pratique.
Wireshark peut automatiquement résoudre ces adresses IP en noms de domaine, bien que cette fonctionnalité ne soit pas activée par défaut. Lorsque vous activez cette option, vous verrez les noms de domaine au lieu des adresses IP dans la mesure du possible. L’inconvénient est que Wireshark devra rechercher chaque nom de domaine, polluant le trafic capturé avec des requêtes DNS supplémentaires.
Vous pouvez activer ce paramètre en ouvrant la fenêtre des préférences depuis ->, en cliquant sur le panneau et en cochant la case «».
Commencer la capture automatiquement
Vous pouvez créer un raccourci spécial à l’aide des arguments de ligne de commande de Wirshark si vous souhaitez commencer à capturer des paquets sans délai. Vous devez connaître le numéro de l’interface réseau que vous souhaitez utiliser, en fonction de l’ordre que Wireshark affiche les interfaces.
Créez une copie du raccourci de Wireshark, cliquez dessus avec le bouton droit de la souris, accédez à sa fenêtre Propriétés et modifiez les arguments de la ligne de commande. Ajouter -i # -k à la fin du raccourci, en remplaçant # avec le numéro de l’interface que vous souhaitez utiliser. L’option -i spécifie l’interface, tandis que l’option -k indique à Wireshark de commencer la capture immédiatement.
Si vous utilisez Linux ou un autre système d’exploitation non Windows, créez simplement un raccourci avec la commande suivante ou exécutez-le à partir d’un terminal pour démarrer immédiatement la capture:
wirehark -i # -k
Pour plus de raccourcis de ligne de commande, consultez Page de manuel de Wireshark.
Capture du trafic à partir d’ordinateurs distants
Wireshark capture le trafic des interfaces locales de votre système par défaut, mais ce n’est pas toujours l’emplacement à partir duquel vous souhaitez capturer. Par exemple, vous souhaiterez peut-être capturer le trafic d’un routeur, d’un serveur ou d’un autre ordinateur à un emplacement différent sur le réseau. C’est là qu’intervient la fonction de capture à distance de Wireshark. Cette fonctionnalité n’est disponible que sur Windows pour le moment – la documentation officielle de Wireshark recommande aux utilisateurs Linux d’utiliser un tunnel SSH.
Tout d’abord, vous devrez installer WinPcap sur le système distant. WinPcap est fourni avec Wireshark, vous n’avez donc pas besoin d’installer WinPCap si Wireshark est déjà installé sur le système distant.
Une fois qu’il n’est pas appelé, ouvrez la fenêtre Services sur l’ordinateur distant – cliquez sur Démarrer, tapez services.msc dans la zone de recherche du menu Démarrer et appuyez sur Entrée. Recherchez le service dans la liste et démarrez-le. Ce service est désactivé par défaut.
Cliquez sur le lien s dans Wireshark, puis sélectionnez dans la zone Interface.
Saisissez l’adresse du système distant et 2002 comme le port. Vous devez avoir accès au port 2002 sur le système distant pour vous connecter, vous devrez donc peut-être ouvrir ce port dans un pare-feu.
Après la connexion, vous pouvez sélectionner une interface sur le système distant dans la liste déroulante Interface. Cliquez après avoir sélectionné l’interface pour démarrer la capture à distance.
Wireshark dans un terminal (TShark)
Si vous n’avez pas d’interface graphique sur votre système, vous pouvez utiliser Wireshark à partir d’un terminal avec la commande TShark.
Tout d’abord, émettez le tshark -D commander. Cette commande vous donnera les numéros de vos interfaces réseau.
Une fois que vous avez, exécutez le tshark -i # commande, en remplaçant # par le numéro de l’interface sur laquelle vous souhaitez capturer.
TShark agit comme Wireshark, imprimant le trafic qu’il capture vers le terminal. Utilisation Ctrl-C lorsque vous souhaitez arrêter la capture.
L’impression des paquets sur le terminal n’est pas le comportement le plus utile. Si nous voulons inspecter le trafic plus en détail, nous pouvons demander à TShark de le vider dans un fichier que nous pourrons inspecter plus tard. Utilisez plutôt cette commande pour vider le trafic vers un fichier:
tshark -i # -w nom de fichier
TShark ne vous montrera pas les paquets au fur et à mesure de leur capture, mais il les comptera au fur et à mesure qu’il les capture. Vous pouvez utiliser l’option -> dans Wireshark pour ouvrir le fichier de capture ultérieurement.
Pour plus d’informations sur les options de ligne de commande de TShark, consultez sa page de manuel.
Création de règles ACL de pare-feu
Si vous êtes un administrateur réseau en charge d’un pare-feu et que vous utilisez Wireshark pour fouiller, vous pouvez prendre des mesures en fonction du trafic que vous voyez – peut-être pour bloquer un trafic suspect. L’outil de Wireshark génère les commandes dont vous aurez besoin pour créer des règles de pare-feu sur votre pare-feu.
Tout d’abord, sélectionnez un paquet sur lequel vous souhaitez créer une règle de pare-feu en cliquant dessus. Après cela, cliquez sur le menu et sélectionnez.
Utilisez le menu pour sélectionner votre type de pare-feu. Wireshark prend en charge Cisco IOS, différents types de pare-feu Linux, y compris iptables, et le pare-feu Windows.
Vous pouvez utiliser la boîte pour créer une règle basée sur l’adresse MAC du système, l’adresse IP, le port ou à la fois l’adresse IP et le port. Vous pouvez voir moins d’options de filtrage, selon votre produit de pare-feu.
Par défaut, l’outil crée une règle qui refuse le trafic entrant. Vous pouvez modifier le comportement de la règle en décochant les cases ou. Après avoir créé une règle, utilisez le bouton pour la copier, puis exécutez-la sur votre pare-feu pour appliquer la règle.
Voulez-vous que nous écrivions quelque chose de spécifique sur Wireshark à l’avenir? Faites-nous savoir dans les commentaires si vous avez des demandes ou des idées.
