Utiliser Wireshark sur Ubuntu
Wireshark est un puissant analyseur de réseau open source qui peut être utilisé pour analyser les données sur un réseau, comme un aide à la résolution des problèmes d’analyse du trafic réseau, mais également comme un outil éducatif pour aider à comprendre les principes des réseaux et des protocoles de communication.
Il est facilement disponible pour presque toutes les distributions Linux et pour Ubuntu, il peut être installé via le Centre de logiciels Ubuntu ou le terminal :
sudo apt-get install wiresharkAvant d’utiliser Wireshark, l’utilitaire dumpcap doit être autorisé à s’exécuter en tant que root. Sans cela, Wireshark ne sera pas capable de capturer le trafic réseau lorsque vous êtes connecté en tant qu’utilisateur normal (ce qui est toujours le cas dans des distributions comme Ubuntu). Pour ajouter le bit “ setuid ” à dumpcap, utilisez la commande suivante :
sudo chmod 4711 `which dumpcap`Notez que les guillemets autour de “which dumpcap” ne sont pas des guillemets simples normaux mais plutôt le caractère d’accent grave. Sur les systèmes de type Unix, cela invoque la substitution de commande où la sortie de la commande which devient un paramètre pour la commande chmod, c’est-à-dire le chemin complet du binaire dumpcap.
Lancez Wireshark, puis cliquez sur l’interface réseau que vous souhaitez utiliser pour capturer les données. Sur un réseau câblé, il s’agira probablement de eth0. Cliquez maintenant sur Démarrer.
Wireshark commencera à capturer le trafic et à l’afficher sous forme de liste codée par couleur dans la fenêtre principale. Le trafic TCP est vert, les paquets UDP sont bleu clair, les requêtes ARP sont jaunes et le trafic DNS est affiché en bleu foncé.
Juste en dessous de la barre d’outils se trouve la boîte de filtre. Pour voir uniquement certains types de paquets réseau, entrez le nom du protocole dans la zone d’édition et cliquez sur Appliquer. Par exemple, pour voir uniquement le message ARP (Address Resolution Protocol), tapez arp dans la boîte de filtre et cliquez sur Appliquer. La liste changera pour ne montrer que les messages ARP. ARP est utilisé sur un LAN pour découvrir quelle machine utilise une certaine adresse IP. D’autres filtres d’exemple incluent HTTP, ICMP, SMTP, SMB, etc.
Wireshark peut filtrer en utilisant des critères plus avancés que le simple type de protocole. Par exemple, pour voir tout le trafic lié au DNS provenant d’un hôte particulier, utilisez le filtre ip.src==192.168.1.101 and dns où 192.168.1.101 est l’adresse source que vous souhaitez filtrer.
Si vous repérez une interaction intéressante entre deux hôtes que vous souhaitez voir dans son intégralité, Wireshark dispose d’une option “suivre le flux”. Faites un clic droit sur n’importe quel paquet dans l’échange, puis cliquez sur “Suivre le flux TCP” (ou Suivre le flux UDP, Suivre le flux SSL en fonction du type de protocole). Wireshark affichera alors une copie complète de la conversation.
Essayez ceci
Utiliser Wireshark peut être aussi complexe ou aussi simple que vous en avez besoin, il y a beaucoup de fonctionnalités avancées pour les experts en réseau mais ceux qui souhaitent apprendre sur les réseaux peuvent également bénéficier de son utilisation. Voici quelque chose à essayer si vous souhaitez en savoir plus sur Wireshark. Lancez une capture et réglez le filtre sur ICMP. Maintenant, pingez votre machine Linux en utilisant une commande comme celle-ci depuis une autre machine Linux ou même depuis un shell de commande Windows :
ping 192.168.1.10Où 192.168.1.10 est l’adresse IP de la machine Linux. Regardez maintenant la liste des paquets et voyez si vous repérez le trafic réseau pour le ping.
