Wireshark et TShark

Introduction et Utilisation

Introduction

Wireshark est un analyseur de paquets réseau graphique, tandis que TShark est son équivalent en ligne de commande.

…​

Ces outils sont utilisés pour capturer, inspecter et analyser le trafic réseau.

1. Wireshark :

Analyseur Graphique

Fonctionnalités principales

Capture de trafic réseau :

Permet de capturer les paquets traversant une interface réseau.

Inspection des paquets :

Analyse détaillée des en-têtes de paquets (Ethernet, IP, TCP/UDP, etc.).

Filtres d’affichage :

Concentrez-vous sur des paquets spécifiques (ex. : http, ip.addr == 192.168.1.1).

Décodage des protocoles :

Supporte des centaines de protocoles, facilitant leur analyse.

Export et analyse :

Sauvegarde des captures au format .pcap pour une analyse ultérieure.

Installation

  • Linux : sudo apt install wireshark (Debian/Ubuntu)

…​

  • MacOS : brew install wireshark

…​

  • Windows : Téléchargez et installez depuis le site officiel de Wireshark.

Utilisation

Démarrer la capture :

  • Sélectionnez une interface réseau (ex. : eth0, wlan0).

  • Cliquez sur "Start Capture".

Filtrage des paquets :

  • Avant la capture : host 192.168.1.1 and port 80

  • Après la capture : Tapez http ou tcp.port == 443 dans la barre de filtres.

Analyse des paquets :

  • Cliquez sur un paquet pour voir ses détails dans la section inférieure.

Exportation des captures :

File > Save As pour sauvegarder la capture au format .pcap.

2. TShark : Analyseur en Ligne de Commande

Fonctionnalités principales

  • Capture de trafic similaire à Wireshark.

  • Idéal pour les environnements non graphiques (serveurs).

  • Permet d’automatiser des analyses via des scripts.

Installation

  • TShark est inclus dans l’installation de Wireshark.

Commandes de base

Lister les interfaces réseau :

tshark -D

Capturer le trafic sur une interface :

tshark -i eth0

Utiliser un filtre de capture :

tshark -i eth0 -f "port 80"

Appliquer un filtre d’affichage :

tshark -i eth0 -Y "http"

Exporter les résultats :

Format texte :

tshark -i eth0 > capture.txt

Format PCAP :

tshark -i eth0 -w capture.pcap

Lire une capture PCAP :

tshark -r capture.pcap

Afficher des champs spécifiques :

tshark -r capture.pcap -T fields -e ip.src -e ip.dst

3. Cas d’utilisation courants

Détection de problèmes réseau :

  • Recherchez des paquets avec des erreurs ou des retransmissions.

  • Filtrez par tcp.analysis.retransmission.

Analyse des performances :

  • Mesurez le temps de réponse d’une application.

  • Filtrez par tcp.time_delta.

Débogage des protocoles :

Inspectez le trafic HTTP avec http.request ou TLS avec ssl.

Surveillance de la sécurité :

Repérez des activités suspectes (ex. : analyse de ports avec tcp.flags.syn == 1 and tcp.flags.ack == 0).

4. Bonnes pratiques

  • Utilisez des filtres pour éviter de capturer un volume excessif de données.

  • Analysez hors ligne en exportant vos captures pour éviter de ralentir le réseau.

Respectez la légalité :

Ne capturez pas de trafic sans autorisation.

…​

Avec ces bases, vous pouvez analyser et diagnostiquer efficacement des problèmes réseau avec Wireshark et TShark.