Fermer
Menu

Comment utiliser Wireshark: un didacticiel complet

Ce qu'il faut savoir

  • Wireshark est un Open source application qui capture et affiche les données circulant dans les deux sens sur un réseau.
  • Parce qu'il peut explorer et lire le contenu de chaque paquet, il est utilisé pour résoudre les problèmes de réseau et tester les logiciels.

Les instructions de cet article s'appliquent à Wireshark 3.0.3 pour Windows et Mac.

Qu'est-ce que Wireshark?

Initialement connu sous le nom d'Ethereal, Wireshark affiche les données de centaines de protocoles sur tous les principaux types de réseaux. Les paquets de données peuvent être visualisés en temps réel ou analysés hors ligne. Wireshark prend en charge des dizaines de formats de fichiers de capture/trace, y compris CASQUETTE et FER. Les outils de décryptage intégrés affichent les paquets cryptés pour plusieurs protocoles courants, y compris WEP et WPA/WPA2.

Comment télécharger et installer Wireshark

Wireshark peut être téléchargé gratuitement à partir du Site Web de la Fondation Wireshark pour macOS et Windows. Vous verrez la dernière version stable et la version de développement actuelle. Sauf si vous êtes un utilisateur avancé, téléchargez la version stable.

Wireshark peut être téléchargé gratuitement sur le site Web de la Fondation Wireshark pour les systèmes d'exploitation macOS et Windows.

Pendant le processus d'installation de Windows, choisissez d'installer WinPcap ou Npcap si vous y êtes invité, car celles-ci incluent les bibliothèques requises pour la capture de données en direct.

Une capture d'écran de l'écran d'installation de Wireshark avec l'option " Installer Npcpap" en surbrillance

Vous devez être connecté à l'appareil en tant qu'administrateur pour utiliser Wireshark. Dans Windows 10, recherchez Wireshark et sélectionnez Exécuter en tant qu'administrateur. Sous macOS, cliquez avec le bouton droit sur l'icône de l'application et sélectionnez Obtenir des informations. Dans le Partage et autorisations paramètres, donnez à l'administrateur Lire écrire privilèges.

Une capture d'écran de l'écran d'informations de Wireshark dans Windows 10 avec l'option " Exécuter en tant qu'administrateur " en surbrillance

L'application est également disponible pour Linux et autres plates-formes de type UNIX y compris Red Hat, Solaris et FreeBSD. Les binaires requis pour ces systèmes d'exploitation se trouvent vers le bas du Page de téléchargement de Wireshark sous le Forfaits tiers section. Vous pouvez également télécharger le code source de Wireshark à partir de cette page.

Comment capturer des paquets de données avec Wireshark

Lorsque vous lancez Wireshark, un écran de bienvenue répertorie les connexions réseau disponibles sur votre appareil actuel. À droite de chacun se trouve un graphique linéaire de style ECG qui représente le trafic en direct sur ce réseau.

Pour commencer à capturer des paquets avec Wireshark:

  1. Sélectionnez un ou plusieurs réseaux, allez dans la barre de menu, puis sélectionnez Capturer.

    Pour sélectionner plusieurs réseaux, maintenez le Décalage clé lorsque vous effectuez votre sélection.

    Une capture d'écran de Wireshark avec le menu Capture en surbrillance

  2. Dans le Interfaces de capture Wireshark fenêtre, sélectionnez Début.

    Il existe d'autres façons d'initier la capture de paquets. Sélectionnez le aileron de requin sur le côté gauche de la barre d'outils Wireshark, appuyez surCtrl+E, ou double-cliquez sur le réseau.

    Une capture d'écran de la fenêtre de l'interface de capture Wireshark avec le bouton Démarrer mis en surbrillance

  3. Sélectionner Déposer > Enregistrer sous ou choisissez un Exportation possibilité d'enregistrer la capture.

    Une capture d'écran de Wireshark avec la commande Enregistrer sous et les options d'exportation en surbrillance

  4. Pour arrêter la capture, appuyez sur Ctrl+E. Ou, allez dans la barre d'outils Wireshark et sélectionnez le rouge Arrêter bouton situé à côté de l'aileron de requin.

    Une capture d'écran de l'interface de capture de Wireshark avec le bouton Arrêter mis en surbrillance

Comment afficher et analyser le contenu des paquets

L'interface de données capturées contient trois sections principales:

  • Le volet de la liste des paquets (la section supérieure)
  • Le volet des détails du paquet (la section du milieu)
  • Le volet des octets de paquets (la section du bas)
L'interface de données capturées contient trois sections principales: le volet de liste de paquets (la section supérieure); le volet des détails du paquet (la section du milieu); et le volet des octets de paquets (la section inférieure).

Liste de paquets

Le volet de la liste des paquets, situé en haut de la fenêtre, affiche tous les paquets trouvés dans le fichier de capture actif. Chaque paquet a sa propre ligne et le numéro correspondant qui lui est attribué, ainsi que chacun de ces points de données:

  • Non: Ce champ indique quels paquets font partie de la même conversation. Il reste vide jusqu'à ce que vous sélectionniez un paquet.
  • Temps: L'horodatage du moment où le paquet a été capturé est affiché dans cette colonne. Le format par défaut est le nombre de secondes ou de secondes partielles depuis que ce fichier de capture spécifique a été créé pour la première fois.
  • La source: Cette colonne contient l'adresse (IP ou autre) d'où provient le paquet.
  • Destination: Cette colonne contient l'adresse à laquelle le paquet est envoyé.
  • Protocole: Le nom du protocole du paquet, tel que TCP, se trouve dans cette colonne.
  • Longueur: La longueur du paquet, en octets, est affichée dans cette colonne.
  • Info: Des détails supplémentaires sur le paquet sont présentés ici. Le contenu de cette colonne peut varier considérablement selon le contenu du paquet.

Pour changer le format de l'heure en quelque chose de plus utile (comme l'heure réelle de la journée), sélectionnez Vue > Format d'affichage de l'heure.

Une capture d'écran de Wireshark avec la commande Format d'affichage de l'heure et les options mises en évidence

Lorsqu'un paquet est sélectionné dans le volet supérieur, vous remarquerez peut-être qu'un ou plusieurs symboles apparaissent dans le Non. colonne. Des crochets ouverts ou fermés et une ligne horizontale droite indiquent si un paquet ou un groupe de paquets fait partie de la même conversation aller-retour sur le réseau. Une ligne horizontale discontinue signifie qu'un paquet ne fait pas partie de la conversation.

Une capture d'écran de Wireshark avec le volet des paquets mis en surbrillance

Détails du paquet

Le volet de détails, situé au milieu, présente les protocoles et les champs de protocole du paquet sélectionné dans un format réductible. En plus d'étendre chaque sélection, vous pouvez appliquer des filtres Wireshark individuels en fonction de détails spécifiques et suivre les flux de données en fonction du type de protocole en cliquant avec le bouton droit sur l'élément souhaité.

Une capture d'écran de Wireshark avec le volet Détails du paquet mis en surbrillance

Octets de paquets

En bas se trouve le volet des octets du paquet, qui affiche les données brutes du paquet sélectionné dans une vue hexadécimale. Cette décharge hexagonale contient 16 octets hexadécimaux et 16 octets ASCII avec le décalage de données.

La sélection d'une partie spécifique de ces données met automatiquement en évidence sa section correspondante dans le volet des détails du paquet et vice versa. Tous les octets qui ne peuvent pas être imprimés sont représentés par un point.

Une capture d'écran de Wireshark avec le panneau Packet Bytes mis en surbrillance

Pour afficher ces données au format binaire par opposition à l'hexadécimal, cliquez avec le bouton droit n'importe où dans le volet et sélectionnez comme bits.

Une capture d'écran de la fenêtre Packet Bytes de Wireshark avec l'option " As bits " en surbrillance

Comment utiliser les filtres Wireshark

Les filtres de capture demandent à Wireshark d'enregistrer uniquement les paquets qui répondent aux critères spécifiés. Des filtres peuvent également être appliqués à un fichier de capture qui a été créé pour que seuls certains paquets soient affichés. Ceux-ci sont appelés filtres d'affichage.

Wireshark fournit un grand nombre de filtres prédéfinis par défaut. Pour utiliser l'un de ces filtres existants, saisissez son nom dans le champ Appliquer un filtre d'affichage champ de saisie situé sous la barre d'outils Wireshark ou dans le Entrez un filtre de capture situé au centre de l'écran d'accueil.

Par exemple, si vous souhaitez afficher les paquets TCP, tapez tcp. La fonction de saisie semi-automatique de Wireshark affiche les noms suggérés lorsque vous commencez à taper, ce qui facilite la recherche du surnom correct pour le filtre que vous recherchez.

Une capture d'écran de Wireshark avec la barre de filtres en surbrillance

Une autre façon de choisir un filtre consiste à sélectionner le signet sur le côté gauche du champ de saisie. Choisir Gérer les expressions de filtre ou Gérer les filtres d'affichage pour ajouter, supprimer ou modifier des filtres.

Une capture d'écran de Wireshark avec les commandes Gérer les filtres d'affichage et Gérer les expressions de filtre en surbrillance

Vous pouvez également accéder aux filtres précédemment utilisés en sélectionnant la flèche vers le bas à droite du champ de saisie pour afficher une liste déroulante de l'historique.

Une capture d'écran de Wireshark avec la flèche d'historique en surbrillance

Les filtres de capture sont appliqués dès que vous commencez à enregistrer le trafic réseau. Pour appliquer un filtre d'affichage, sélectionnez la flèche droite à droite du champ de saisie.

Règles de couleur Wireshark

Alors que les filtres de capture et d'affichage de Wireshark limitent les paquets enregistrés ou affichés à l'écran, son La fonction de colorisation va encore plus loin: elle peut distinguer différents types de paquets en fonction de leur teinte individuelle. Cela localise rapidement certains paquets dans un ensemble enregistré par leur couleur de ligne dans le volet de liste de paquets.

Boîte de dialogue des règles de coloration Wireshark ouverte devant la fenêtre principale de Wireshark

Wireshark est livré avec environ 20 règles de coloration par défaut, chacune pouvant être modifiée, désactivée ou supprimée. Sélectionner Vue > Règles de coloration pour un aperçu de la signification de chaque couleur. Vous pouvez également ajouter vos propres filtres basés sur les couleurs.

Une capture d'écran du menu Affichage de Wireshark avec la commande Règles de coloration en surbrillance

Sélectionner Vue > Coloriser la liste des paquets pour activer et désactiver la colorisation des paquets.

Statistiques dans Wireshark

D'autres mesures utiles sont disponibles via le Statistiques menu déroulant. Ceux-ci incluent des informations sur la taille et la durée du fichier de capture, ainsi que des dizaines de tableaux et de graphiques allant des pannes de conversation par paquets à la répartition de la charge des requêtes HTTP.

Plusieurs autres mesures utiles sont disponibles via le menu déroulant Statistiques situé vers le haut de l'écran.

Des filtres d'affichage peuvent être appliqués à bon nombre de ces statistiques via leurs interfaces, et les résultats peuvent être exportés vers des formats de fichiers courants, notamment CSV, XML, et TXT.

Fonctionnalités avancées de Wireshark

Wireshark prend également en charge des fonctionnalités avancées, notamment la possibilité d'écrire des dissecteurs de protocole dans le langage de programmation Lua.