Technologies expliquées simplement

Comment utiliser les filtres d'affichage dans Wireshark

Wireshark est un analyseur de paquets réseau basé sur une interface graphique qui vous permet d’inspecter les données des paquets d’un réseau en direct ainsi que d’un fichier précédemment capturé. Bien que ce soit un outil très puissant, un problème courant auquel les nouveaux utilisateurs sont confrontés est qu’il affiche tellement de données qu’il devient vraiment difficile pour eux de cibler les informations exactes qu’ils recherchent. C’est là que les filtres d’affichage de Wireshark aident.

Remarque – Si vous êtes complètement nouveau sur Wireshark, il est recommandé de passer d’abord par son tutoriel de base.

Filtres d’affichage

Voici un exemple de capture en direct dans Wireshark :

wireshark-live-capture

Notez qu’une grande partie de l’interface graphique est utilisée pour afficher des informations (comme l’heure, la source, la destination, et plus) sur tous les paquets entrants et sortants. Pour filtrer ces informations selon vos besoins, vous devez utiliser la zone de filtre présente en haut de la fenêtre.

1. Filtrer les informations en fonction du protocole

Pour filtrer les résultats en fonction d’un protocole spécifique, il suffit d’écrire son nom dans la zone de filtre et d’appuyer sur entrer. Par exemple, la capture d’écran suivante affiche des informations liées au protocole HTTP :

wireshark-http

Observez que la colonne Protocole ne contient que des entrées HTTP. Si des informations relatives à plus d’un protocole sont nécessaires, entrez les noms des protocoles séparés par un double pipe (ou un opérateur logique OU) ||. Voici un exemple :

http || arp || icmp

wireshark-multiple-protocols

2. Filtrer les informations en fonction de l’adresse IP

Pour filtrer les résultats en fonction de l’adresse IP source, utilisez le filtre ip.src. Voici un exemple :

ip.src==50.116.24.50

wireshark-ip

De même, utilisez ip.dst pour filtrer les résultats en fonction de l’adresse IP de destination. Pour afficher à la fois les paquets source et destination avec une adresse IP particulière, utilisez le filtre ip.addr. Voici un exemple :

ip.addr==50.116.24.50

wireshark-ip-addr

Observez que les paquets avec une adresse IP source ou de destination de 50.116.24.50 sont affichés dans la sortie.

Pour exclure les paquets avec une adresse IP spécifique, utilisez l’opérateur !=. Voici un exemple :

ip.src!=50.116.24.50

wireshark-exclude-ip

3. Filtrer les informations en fonction du port

Vous pouvez également filtrer le trafic capturé en fonction des ports réseau. Par exemple, pour n’afficher que les paquets contenant le port source ou destination TCP 80, utilisez le filtre tcp.port. Voici un exemple :

tcp.port==80

wireshark-tcp-port

De même, vous pouvez utiliser tcp.srcport et tcp.dstport pour filtrer séparément les résultats en fonction des ports source et destination TCP, respectivement.

Wireshark a également la capacité de filtrer les résultats en fonction des drapeaux TCP. Par exemple, pour afficher uniquement les paquets TCP contenant le drapeau SYN, utilisez le filtre tcp.flags.syn. Voici un exemple :

wireshark-tcp-flags

De même, vous pouvez également filtrer les résultats en fonction d’autres drapeaux comme ACK, FIN, et plus, en utilisant des filtres tels que tcp.flags.ack, tcp.flags.fin, et plus, respectivement.

4. D’autres filtres utiles

Wireshark affiche les données contenues par un paquet (qui est actuellement sélectionné) au bas de la fenêtre. Parfois, lors du débogage d’un problème, il est nécessaire de filtrer les paquets en fonction d’une séquence de bytes particulière. Vous pouvez facilement le faire avec Wireshark.

Par exemple, les paquets TCP contenant la séquence de bytes 00 00 01 peuvent être filtrés de la manière suivante :

tcp contains 00:00:01

wireshark-byte-seq

Ensuite, tout comme vous pouvez filtrer les résultats en fonction des adresses IP (expliqué précédemment), vous pouvez également filtrer les résultats en fonction des adresses MAC, en utilisant le filtre eth.addr. Par exemple, pour voir tout le trafic entrant et sortant d’une machine avec l’adresse mac, disons AA:BB:CC:DD:EE:FF, utilisez la commande de filtre suivante :

eth.addr == AA:BB:CC:DD:EE:FF

Conclusion

Nous avons à peine effleuré la surface ici, car Wireshark a beaucoup plus à offrir. Pour plus d’informations sur les filtres d’affichage de Wireshark, visitez le site officiel de Wireshark ou le site Wiki Wireshark. Si vous avez des doutes ou des questions, laissez un commentaire ci-dessous.

Contenu

  1. Filtres d'affichage
  2. 1. Filtrer les informations en fonction du protocole
  3. 2. Filtrer les informations en fonction de l'adresse IP
  4. 3. Filtrer les informations en fonction du port
  5. 4. D'autres filtres utiles
  6. Conclusion
Tableau de bord Ello

Ello : Exploration du Réseau Social Privé

Bitdefender n'installant pas : 3 solutions faciles que vous pouvez utiliser

Plus d'informations sur les corrections de Bitdefender

Google supprime Inbox et lui donne six mois à vivre

rapports-d-aspect-16x9

Comprendre les rapports d'aspect vidéo

Gestionnaire de fichiers avec des étiquettes pour organiser vos fichiers : Top 5

Réparer le réveil sur LAN qui ne fonctionne pas

Wake On LAN ne fonctionne pas sur Windows [Résolu]

easycap-mac-mspacman-console

Utiliser EasyCAP pour capturer des VHS et des consoles sur Mac

Google teste une nouvelle fonctionnalité Chrome pour l'éligibilité à la mise à niveau vers Windows 11