Page d'accueil » comment » 5 astuces de tueur pour tirer le meilleur parti de Wireshark

    5 astuces de tueur pour tirer le meilleur parti de Wireshark

    Wireshark a de nombreuses astuces, de la capture du trafic distant à la création de règles de pare-feu basées sur les paquets capturés. Continuez votre lecture pour des astuces plus avancées si vous voulez utiliser Wireshark comme un pro.

    Nous avons déjà abordé l'utilisation de base de Wireshark. Veillez donc à lire notre article d'origine pour une introduction à ce puissant outil d'analyse de réseau..

    Résolution de nom de réseau

    Lors de la capture de paquets, il peut être gênant que Wireshark n’affiche que les adresses IP. Vous pouvez convertir les adresses IP en noms de domaine vous-même, mais ce n'est pas très pratique.

    Wireshark peut automatiquement résoudre ces adresses IP en noms de domaine, bien que cette fonctionnalité ne soit pas activée par défaut. Lorsque vous activez cette option, vous verrez les noms de domaine à la place des adresses IP chaque fois que possible. L'inconvénient est que Wireshark devra rechercher chaque nom de domaine, en polluant le trafic capturé avec des requêtes DNS supplémentaires..

    Vous pouvez activer ce paramètre en ouvrant la fenêtre de préférences de modifier -> Préférences, en cliquant sur le Résolution de nom panneau et en cliquant sur le bouton “Activer la résolution de noms de réseau”Case à cocher.

    Commencer à capturer automatiquement

    Vous pouvez créer un raccourci spécial à l'aide des arguments de ligne de commande de Wirshark si vous souhaitez commencer à capturer les paquets sans délai. Vous aurez besoin de connaître le numéro de l'interface réseau que vous souhaitez utiliser, en fonction de l'ordre dans lequel Wireshark affiche les interfaces..

    Créez une copie du raccourci de Wireshark, cliquez dessus avec le bouton droit de la souris, allez dans la fenêtre Propriétés et modifiez les arguments de la ligne de commande. Ajouter -je -k à la fin du raccourci, en remplaçant # avec le numéro de l'interface que vous souhaitez utiliser. L'option -i spécifie l'interface, tandis que l'option -k indique à Wireshark de commencer à capturer immédiatement.

    Si vous utilisez Linux ou un autre système d'exploitation non Windows, créez simplement un raccourci avec la commande suivante ou exécutez-le à partir d'un terminal pour lancer la capture immédiate:

    filshark -i # -k

    Pour plus de raccourcis en ligne de commande, consultez la page de manuel de Wireshark.

    Capture du trafic depuis des ordinateurs distants

    Wireshark capture le trafic à partir des interfaces locales de votre système par défaut, mais ce n'est pas toujours l'emplacement à partir duquel vous souhaitez effectuer la capture. Par exemple, vous souhaiterez peut-être capturer le trafic depuis un routeur, un serveur ou un autre ordinateur situé à un emplacement différent du réseau. C’est là que la fonctionnalité de capture à distance de Wireshark entre en jeu. Cette fonctionnalité n’est disponible que sous Windows pour le moment. La documentation officielle de Wireshark recommande aux utilisateurs de Linux d’utiliser un tunnel SSH..

    Tout d'abord, vous devrez installer WinPcap sur le système distant. WinPcap est livré avec Wireshark, vous n’avez donc pas besoin d’installer WinPCap si Wireshark est déjà installé sur le système distant..

    Ensuite, ouvrez la fenêtre Services sur l’ordinateur distant. Cliquez sur Démarrer, tapez services.msc dans le champ de recherche du menu Démarrer et appuyez sur Entrée. Localisez le Protocole de capture de paquets à distance service dans la liste et le démarrer. Ce service est désactivé par défaut.

    Clique le Option de captures lien dans Wireshark, puis sélectionnez Éloigné depuis la boîte d'interface.

    Entrez l'adresse du système distant et 2002 comme le port. Vous devez avoir accès au port 2002 sur le système distant pour vous connecter. Vous devrez donc peut-être ouvrir ce port dans un pare-feu..

    Une fois la connexion établie, vous pouvez sélectionner une interface sur le système distant dans la liste déroulante Interface. Cliquez sur Début après avoir sélectionné l'interface pour démarrer la capture à distance.

    Wireshark dans un terminal (TShark)

    Si vous n'avez pas d'interface graphique sur votre système, vous pouvez utiliser Wireshark à partir d'un terminal avec la commande TShark.

    Tout d'abord, émettez le tshark -D commander. Cette commande vous donnera les numéros de vos interfaces réseau.

    Une fois que vous avez, lancez le tshark -i # commande, en remplaçant # par le numéro de l'interface que vous voulez capturer.

    TShark agit comme Wireshark, imprimant le trafic capturé vers le terminal. Utilisation Ctrl-C quand vous voulez arrêter la capture.

    Imprimer les paquets sur le terminal n'est pas le comportement le plus utile. Si nous voulons inspecter le trafic plus en détail, nous pouvons demander à TShark de le vider dans un fichier que nous pourrons inspecter ultérieurement. Utilisez cette commande à la place pour vider le trafic dans un fichier:

    tshark -i # -w nom de fichier

    TShark ne vous montrera pas les paquets au fur et à mesure de leur capture, mais les comptera au fur et à mesure de leur capture. Vous pouvez utiliser le Fichier -> Ouvrir option dans Wireshark pour ouvrir le fichier de capture ultérieurement.

    Pour plus d'informations sur les options de ligne de commande de TShark, consultez sa page de manuel..

    Création de règles ACL de pare-feu

    Si vous êtes un administrateur réseau responsable d'un pare-feu et que vous utilisez Wireshark pour fouiller, vous souhaiterez peut-être prendre des mesures en fonction du trafic que vous voyez - peut-être pour bloquer un trafic suspect. De Wireshark Règles ACL de pare-feu outil génère les commandes dont vous aurez besoin pour créer des règles de pare-feu sur votre pare-feu.

    Commencez par sélectionner le paquet sur lequel vous souhaitez créer une règle de pare-feu en cliquant dessus. Après cela, cliquez sur le bouton Outils menu et sélectionnez Règles ACL de pare-feu.

    Utilisez le Produit menu pour sélectionner votre type de pare-feu. Wireshark prend en charge Cisco IOS, différents types de pare-feu Linux, y compris iptables, et le pare-feu Windows..

    Vous pouvez utiliser le Filtre zone pour créer une règle basée sur l'adresse MAC, l'adresse IP, le port du système ou à la fois l'adresse IP et le port. Il se peut que moins d’options de filtrage soient définies en fonction de votre pare-feu..

    Par défaut, l'outil crée une règle qui refuse le trafic entrant. Vous pouvez modifier le comportement de la règle en décochant la case correspondante. Entrant ou Nier cases à cocher. Après avoir créé une règle, utilisez la commande Copie bouton pour le copier, puis exécutez-le sur votre pare-feu pour appliquer la règle.


    Voulez-vous que nous écrivions quelque chose de spécifique sur Wireshark dans le futur? Faites-nous savoir dans les commentaires si vous avez des demandes ou des idées.