Formations à l'informatique et à l'électronique

Auteur : SD
Modifié le : 25-10-2017
Créé le : 08-09-2014

Utilisation de Wireshark

Logo logiciel Wireshark

Wireshark est un logiciel incontournable pour le technicien réseau, il est en quelque sorte l'équivalent de l'oscilloscope pour les électroniciens ou bien l'équivalent du scanner ou de l'IRM pour un médecin. Cet article court permet une prise en main rapide et efficace de ce logiciel.

Faire une capture

Pour réaliser une capture, sélectionner tout d'abord la carte réseau sur laquelle vous voulez réaliser la capture.

Sur la capture ci-dessous, il y a une seul carte réseau, mais il possible qu'il y en ai plusieurs (carte WiFi, Carte réseau virtuelles,...)

Capture d'écran du logiciel Wireshark sélection de l'interface réseau

Cliquer ensuite sur "Start a new live capture" comme le montre la capture d'écran ci-dessous.

Capture d'écran du logiciel Wireshark start a new live capture
Capture d'écran du logiciel Wireshark stop the running live capture

Pour arrêter la capture, cliquer sur "Stop the running live capture" comme le montre la capture d'écran ci-contre.

Analyser une capture

La capture d'écran ci-dessous repère 4 zones importantes dans la fenêtre Wireshark :

  1. La zone de filtre : On peut ici taper un filtre qui va permettre de voir seulement les trames qui nous intéressent. Par exemple ici le filtre laisse voir uniquement les trames dont le protocole est HTTP et (&&) dont l'adresse IP source ou (||) destination est 46.30.212.249 (en savoir plus sur les filtres)
  2. La liste des trames : Ici nous avons 2 trames, la trame 6648 est sélectionnée (en bleu clair) on peut à ce niveau voir quelques renseignements comme l'IP source (192.168.8.22), l'IP destination (46.30.212.249) et le protocole (HTTP). Cette trame sélectionnée est détaillée dans les cadres 3 et 4.
  3. La trame décodée : Cette zone donne le détail de la trame classé en fonction des couches du modèle OSI :
    • Frame 6648... : Niveau 1
    • Ethernet II... : Niveau 2, trame Ethernet
    • Internet Protocol... : Niveau 3, paquet IP
    • Transmission Control... : Niveau 4, segment TCP
    • Hypertext... : Niveaux supérieurs, ici protocole HTTP
    Chaque partie peut être déployée (cliquer sur le +), à l'intérieur, Wireshark a décodé le moindre octet de la trame.
  4. La trame en hexadécimal et ASCII : Dans cette dernière zone, nous pouvons voir l'ensemble des octets de la trame représentés de deux manières :
    • En hexadécimal sur la gauche
    • En ASCII sur la droite
    Il s'agit bien de deux fois la même chose. Si l'on clique sur une partie, la partie correspondante se met en surbrillance dans la partie d'à coté.
Capture d'écran du logiciel Wireshark explication des différentes zone

Astuces

Un des plus gros problème auquel l'utilisateur de Wireshark est confronté est d'arriver à faire le tri dans toutes les trames capturées. Ce nombre pouvant être relativement important.

La première chose à faire de limiter le temps de capture au minimum, bien préparer la manipulation que l'on veut faire à l'avance, lancer la capture, faire rapidement la manipulation à faire et arrêter immédiatement la capture. La deuxième chose est d'utiliser les filtres, objet du paragraphe ci-après.

Utiliser les filtres

L'outil le plus puissant pour limiter le nombre de trames reste l'utilisation de filtres. Le tableau ci-dessous donne quelques exemples de filtres. Il en existe beaucoup d'autres...

Capture d'écran de la zone filtre de Wireshark
FILTRERôLE
http Uniquement les trames dont le protocole est HTTP
bootp Uniquement les trames dont le protocole est DHCP ou BOOTP
dns Uniquement les trames dont le protocole est dns
icmp Uniquement les trames dont le protocole est icmp (utile pour voir uniquement les PING)
ip.addr==192.168.8.254 Uniquement les trames qui concernent l'IP 192.168.8.254 en source ou en destination
ip.src==192.168.8.254 Uniquement les trames dont l'IP source est 192.168.8.254
ip.dst==192.168.8.254 Uniquement les trames dont l'IP destination est 192.168.8.254
eth.addr==ac:22:0b:ca:98:bb Uniquement les trames dont l'adresse MAC source ou destination est ac:22:0b:ca:98:bb
tcp.port==80 Uniquement les trames TCP dont le port source ou destination est 80
(ip.src==192.168.8.254) && (tcp.port==80) Uniquement les trames TCP dont l'IP source est 192.168.8.254 ET dont le port source ou destination est 80
(ip.src==192.168.8.254) || (tcp.port==80) Uniquement les trames TCP dont l'IP source est 192.168.8.254 OU dont le port source ou destination est 80.
Le caractère '|' est obtenue en appuyant sur "Alt Gr" + "6".
ip.dst==224.0.0.0/4 Uniquement les trames MULTICAST
ip.dst==224.0.0.0/4 && !ssdp Uniquement les trames MULTICAST
ET pas (NOT) les trames SSDP

Articles connexes

Procédure d'installation d'un périphérique réseau

Webographie

Site officiel de Wireshark

Vous avez apprécié cet article ? Partagez le !

Article connexe : Procédure d'installation d'un périphérique réseau