Wireshark est le couteau suisse des outils d’analyse de réseau. Que vous recherchiez du trafic peer-to-peer sur votre réseau ou que vous souhaitiez simplement voir à quels sites Web une adresse IP spécifique accède, Wireshark peut travailler pour vous.
Nous avons déjà donné une introduction à Wireshark. et cet article s’appuie sur nos articles précédents. Gardez à l’esprit que vous devez capturer à un emplacement du réseau où vous pouvez voir suffisamment de trafic réseau. Si vous effectuez une capture sur votre poste de travail local, vous ne verrez probablement pas la majorité du trafic sur le réseau. Wireshark peut faire des captures à partir d’un emplacement distant – consultez notre article sur les astuces de Wireshark pour plus d’informations à ce sujet.
Identification du trafic d’égal à égal
La colonne de protocole de Wireshark affiche le type de protocole de chaque paquet. Si vous regardez une capture Wireshark, vous pouvez voir BitTorrent ou un autre trafic peer-to-peer qui s’y cache.
Vous pouvez voir quels protocoles sont utilisés sur votre réseau à partir de l’outil, situé sous le menu.
Cette fenêtre affiche une répartition de l’utilisation du réseau par protocole. De là, nous pouvons voir que près de 5% des paquets sur le réseau sont des paquets BitTorrent. Cela ne semble pas beaucoup, mais BitTorrent utilise également des paquets UDP. Les près de 25% des paquets classés comme paquets de données UDP sont également du trafic BitTorrent ici.
Nous ne pouvons afficher que les paquets BitTorrent en cliquant avec le bouton droit sur le protocole et en l’appliquant comme filtre. Vous pouvez faire de même pour d’autres types de trafic peer-to-peer qui peuvent être présents, tels que Gnutella, eDonkey ou Soulseek.
L’utilisation de l’option Appliquer le filtre applique le filtre «» Vous pouvez ignorer le menu contextuel et afficher le trafic d’un protocole en tapant son nom directement dans la zone Filtre.
À partir du trafic filtré, nous pouvons voir que l’adresse IP locale de 192.168.1.64 utilise BitTorrent.
Pour afficher toutes les adresses IP utilisant BitTorrent, nous pouvons sélectionner dans le menu.
Cliquez sur l’onglet et activez la case à cocher «». Vous verrez à la fois les adresses IP distantes et locales associées au trafic BitTorrent. Les adresses IP locales doivent apparaître en haut de la liste.
Si vous souhaitez voir les différents types de protocoles pris en charge par Wireshark et leurs noms de filtre, sélectionnez dans le menu.
Vous pouvez commencer à taper un protocole pour le rechercher dans la fenêtre Protocoles activés.
Surveillance de l’accès au site Web
Maintenant que nous savons comment répartir le trafic par protocole, nous pouvons taper «» dans la case Filtre pour voir uniquement le trafic HTTP. Lorsque l’option «Activer la résolution du nom du réseau» est cochée, nous verrons les noms des sites Web auxquels on accède sur le réseau.
Encore une fois, nous pouvons utiliser l’option dans le menu.
Cliquez sur l’onglet et activez à nouveau la case à cocher «». Vous devez également vous assurer que la case à cocher «» est activée, sinon vous ne verrez que les adresses IP.
De là, nous pouvons voir les sites Web consultés. Les réseaux publicitaires et les sites Web tiers qui hébergent des scripts utilisés sur d’autres sites Web apparaîtront également dans la liste.
Si nous voulons décomposer cela par une adresse IP spécifique pour voir ce que navigue une seule adresse IP, nous pouvons le faire aussi. Utilisez le filtre combiné http et ip.addr == [IP address] pour voir le trafic HTTP associé à une adresse IP spécifique.
Ouvrez à nouveau la boîte de dialogue Endpoints et vous verrez une liste des sites Web auxquels cette adresse IP spécifique accède.
Tout cela ne fait qu’effleurer la surface de ce que vous pouvez faire avec Wireshark. Vous pouvez créer des filtres beaucoup plus avancés ou même utiliser l’outil Règles d’ACL de pare-feu de notre article sur les astuces de Wireshark pour bloquer facilement les types de trafic que vous trouverez ici.