Afficher/cacher Sommaire
Wireshark
Wireshark est un logiciel libre d’analyse de paquets. Il est utilisé pour résoudre les problèmes de réseau, l’analyse, le développement de logiciels et de protocoles de communication, et l’apprentissage. À l’origine nommé Ethereal, le projet est renommé Wireshark en mai 2006 en raison de problèmes de propriété intellectuelle.
Le paquet wireshark est séparé en deux versions, toutes deux présentes dans Community : -cli et -gtk (le paquet -gtk dépend du paquet -cli).
Pour installer l’interface graphique et le client en ligne de commande :
# pacman -S wireshark-gtk
Pour installer uniquement le client :
# pacman -S wireshark-cli
Utiliser Wireshark en tant que simple utilisateur
Il suffit de s’ajouter au groupe ‘'’wireshark’’’ :
# gpasswd -a <username> wireshark
N’oubliez pas de vous reconnecter pour que les modifications prennent effet.
Quelques méthodes de capture
Il existe de nombreuses façons de capturer exactement ce que l’on cherche ‘‘via’’ Wireshark par l’utilisation des filtres.
Pour apprendre la syntaxe des filtres, cf. man pcap-filter
Filtrer les paquets TCP
Si vous souhaitez voir tous les paquets TCP récupérés, tapez tcp dans le champ “filtre”.
Filtrer les paquets par le port
Si vous souhaitez ne récupérer que les paquets TCP transitant par un port spécifique, tapez tcp.port == “port” en remplaçant port par le port considéré.
Filtrer les paquets UDP
Si vous souhaitez voir tous les paquets UDP récupérés, tapez dans le champ “filtre”.
Filtrer les paquets par le port
Si vous souhaitez ne récupérer que les paquets UDP transitant par un port spécifique, tapez udp.port == “port” en remplaçant port par le port considéré.
Filtrer les paquets par l’adresse IP
- Si vous souhaitez voir toutes les données allant vers une adresse IP spécifique, tapez ip.dst == 1.2.3.4, en remplaçant 1.2.3.4 par l’adresse IP qui reçoit les paquets.
- Si vous souhaitez voir toutes les données partant d’une adresse IP spécifique, tapez ip.src == 1.2.3.4, en changeant 1.2.3.4 par l’adresse IP qui envoie les données.
- Si vous souhaitez voir toutes les données relatives à une adresse IP spécifique, tapez ip.addr == 1.2.3.4, en changeant 1.2.3.4 par l’adresse IP à filtrer.
Tshark
TShark est un logiciel avec une interface de type ligne de commande permettant d’analyser les protocoles réseaux capturé depuis une interface (en utilisant la librairie libpcap) ou depuis un fichier de capture au format Wireshark. Développé en parallèle de Wireshark, il est distribué sous licence GNU GPL.
Installation sous debian
sudo apt install tshark