François Goffinet

François Goffinet

Introduction à Wireshark

Version : Wireshark 2.1

On trouvera ici une introduction au logiciel Wireshark décrivant son histoire, ses fonctionnalités et sa procédure d’installation.

1. Introduction à Wireshark

Wireshark est un analyseur de paquets open source (GNU) populaire. Ses “dissectors” ou décodeurs de protocoles permettent d’interpréter le trafic du réseau.

Conçu en 1997-1998 par Gerald Combs sous le nom historique de “Ethereal”, il est repris en 2006 sous le nom moderne de “Wireshark”. En 2008, Wireshark sort en version 1.0 et en 2015 en version 2.0 avec une nouvelle interface graphique.

1.1. Fonctionnalités de Wireshark

Les fonctionnalités principales de Wireshark sont :

  • Disponibles pour les systèmes UNIX et Windows.
  • Capturer les packets de données en “live” qui passent en live sur les interfaces à partir de n’importe quel type de supports : Ethernet, Wi-FI, Bluetooth, Frame-Relay, ATM, HDLC, USB, … Voir NetworkMedia.
  • Ouvrir des fichiers de captures de paquets réalisés avec tcpdump/WinDump, Wireshark et bien d’autres programmes.
  • Importer des paquets venant de fichiers texte contenant les charges en hexa de paquets de données.
  • Display packets with very detailed protocol information.
  • Enregistrer des paquets de données capturés.
  • Exporter certains ou tous les paquets capturés dans différents formats.
  • Filtrer les paquets sur base de différents criètres.
  • Rechercher des paquets sur base de différents criètres.
  • Coloriser des paquets sur base de différents criètres.
  • Créer différentes statistiques

Figure 1.1. Wireshark captures packets and lets you examine their contents.

Analyse de trafic avec  Wireshark

Wireshark n’est ni un IDS/IPS qui réagirait à des empruntes de trafic, ni un forgeur de paquet qui manipule le trafic.

1.2. Prérequis système

La quantité de ressources requise par Wireshark dépend de votre environnement et de la taille du fichier de capture que vous analysez. Les valeurs ci-dessous devraient être adaptées pour les fichiers de capture de petite à moyenne taille de quelques centaines de Mo. Les fichiers de capture plus importants nécessiteront plus de mémoire et d’espace disque.

Les réseaux occupés signifient de grandes captures

Travailler avec un réseau occupé peut facilement produire d’énormes fichiers de capture. La capture sur un réseau gigabit ou même 100 mégabits peut produire des centaines de mégaoctets de données de capture en peu de temps. Un processeur rapide, beaucoup de mémoire et d’espace disque est toujours une bonne idée.

Bien que Wireshark capture des paquets en utilisant un processus distinct, l’interface principale est simple et ne bénéficiera pas beaucoup des systèmes multi-core.

Microsoft Windows

  • Les version de Wireshark supporte les versions de Windows avec extended support lifetime : Windows 10, 8, 7, Vista, Server 2016, Server 2012 R2, Server 2012, Server 2008 R2, and Server 2008.
  • Processeur 64-bit AMD64/x86-64 or 32-bit x86 processor.
  • 400 MB RAM disponible. Des fichiers de captures important nécessitent plus de RAM.
  • 300 MB d’espace disque pour l’installation.
  • Graphique 1024×768 (1280×1024 or ou plus recommandé) resolution en couleur 16 bits.

  • Une carte réseau (NIC) supportée.

    • Ethernet. N’importe quelle carte devrait être fonctionnelle. Voir Ethernet et Offloading en cas problèmes.
    • 802.11. Capturer du trafic réseau Wi-Fi sans matériel adapté peut être difficile sous Windows : Wireshark wiki page. Capturing raw 802.11 information may be difficult without special equipment.
    • Autres supports. Voir NetworkMedia.

UNIX / Linux

Wireshark fonctionne sur la plupart des systèmes UNIX, UNIX-like comme par exemple macOS ou Linux. Les pré-requis systèmes sont identiques à ceux d’une installation Windows.

Les binaires d’installation sont mis à disposition pour les systèmes suivants :

  • Apple macOS
  • Debian GNU/Linux
  • FreeBSD
  • Gentoo Linux
  • HP-UX
  • Mandriva Linux
  • NetBSD
  • OpenPKG
  • Red Hat Enterprise/Fedora Linux
  • Sun Solaris/i386
  • Sun Solaris/SPARC
  • Canonical Ubuntu

2. Obtenir Wireshark

On peut obtenir Wireshark à partir de son site Web : https://www.wireshark.org/download.html. La page de téléchargement vous redirige automatiquement sur le bon téléchargement pour votre système en utilisant le mirroir Internet le plus proche de chez vous. Les installateurs officiels Windows et macOS isont signés par la Wireshark Foundation.

Une nouvelle version de Wireshark est publiée tous les mois ou tous les deux mois.

3. Installation de Wireshark

3.1. Installation de Wireshark sous Windows

L’installateur Wireshark contient le type de système et sa version : Wireshark-win64-2.3.0.exe installe Wireshark 2.3.0 pour Windows 64-bit. L’installateur Wireshark installe le pilote WinPcap indispensable aux captures.

Choix des composants d’installation

On the Choose Components page of the installer you can select from the following:

  • Wireshark - Le logiciel lui-même.
  • TShark - Un outil en ligne de commande.
  • Wireshark 1 Legacy - L’ancienne interface graphique.

  • Plugins & Extensions - Des extras pour Wireshark et Tshark en matière de “dissecteurs”.

    • Dissector Plugins - Plug-ins “dissecteurs”.
    • Tree Statistics Plugins - Statistiques étendues.
    • Mate - Meta Analysis and Tracing Engine - Extensions utilisateurs d’affichage, de filtrage, voir Mate.
    • SNMP MIBs - dissection des MIBs SNMP.

  • Tools - Outils supplémentaires de traitement des fichiers de capture.

    • Editcap - Lit un fichier de capture et écrit certains ou tous les paquets dans un autre fichier de capture.
    • Text2Pcap - Lecture dans un vaisseau hexadécimal ASCII et écrit les données dans un fichier de capture de pcap.
    • Reordercap - Réorganise un fichier de capture par timestamp.
    • Mergecap - Combine plusieurs fichiers de capture enregistrés dans un seul fichier de sortie.
    • Capinfos - Fournit des informations sur les fichiers de capture.
    • Rawshark - Filtre en paquet brut.
    • Guide de l’utilisateur - Installation locale du Guide de l’utilisateur. Les boutons d’aide de la plupart des dialogues nécessiteront une connexion Internet.

Tâches supplémentaires

  • Raccourcis du menu Démarrer - Ajouter des raccourcis du menu de démarrage.
  • Icône de bureau - Ajouter une icône Wireshark au bureau.
  • Icône de lancement rapide - Ajouter une icône Wireshark à la barre d’outils de lancement rapide de l’Explorer.
  • Associer des extensions de fichiers à Wireshark.

Choix de l’emplacement d’installation

Par défaut, Wireshark s’installe dans %ProgramFiles%\Wireshark sur Windows 32 bits et %ProgramFiles64%\Wireshark sur Windows 64 bits. (C:\Program Files\Wireshark sur la plupart des systèmes).

Installation de WinPcap

L’installation de Wireshark contient le dernier programme d’installation de WinPcap.

Si vous n’avez pas installé WinPcap, vous ne pourrez pas capturer le trafic réseau en direct, mais vous pourrez toujours ouvrir des fichiers de capture enregistrés. Par défaut, la dernière version de WinPcap sera installée.

Pour plus d’informations sur WinPcap, consultez https://www.winpcap.org/ et https://wiki.wireshark.org/WinPcap.

Options en ligne de commande de l’installateur Windows

  • /S exécute le programme d’installation ou de désinstallation en silence avec des valeurs par défaut. L’installateur silencieux n’installera pas WinPCap.
  • /desktopicon iinstallation de l’icône du bureau,=yes - force l’installation, =no - ne pas installer, sinon utilisez les paramètres par défaut. Cette option peut être utile pour un installateur silencieux.
  • /quicklaunchicon installation de l’icône de lancement rapide,=yes - forcer l’installation, =no - ne pas installer, sinon utiliser les paramètres par défaut.
  • /D éfinit le répertoire d’installation par défaut (\$INSTDIR), en remplaçant InstallDir et InstallDirRegKey. Il doit être le dernier paramètre utilisé dans la ligne de commande et ne doit pas contenir de guillemets même si le chemin contient des espaces.
  • /NCRC désactive la vérification CRC. Nous vous recommandons de ne pas utiliser ce drapeau.

Exemple:

> Wireshark-win64-wireshark-2.0.5.exe /NCRC /S /desktopicon=yes /quicklaunchicon=no /D=C:\Program Files\Foo

L’exécution du programme d’installation sans paramètres montre l’installateur interactif normal.

Installation manuelle de WinPcap

Comme mentionné ci-dessus, l’installateur Wireshark prend soin d’installer WinPcap. Ce qui suit n’est nécessaire que si vous souhaitez utiliser une version différente de celle incluse dans l’installateur Wireshark, par ex. Car une nouvelle version de WinPcap a été diffusée.

D’autres versions de WinPcap (y compris les versions alpha ou bêta plus récentes) peuvent être téléchargées depuis le site principal de WinPcap à https://www.winpcap.org/.

Mettre à jour Wireshark

Par défaut, le paquet Windows officiel vérifiera les nouvelles versions et vous informera quand elles seront disponibles. Si vous avez désactivé la requête Vérifier les mises à jour ou si vous exécutez Wireshark dans un environnement isolé, vous devez vous inscrire à la liste de diffusion wireshark-announce.

Les nouvelles versions de Wireshark sont généralement diffusées toutes les quatre à six semaines. La mise à jour de Wireshark se fait de la même manière que l’installation. Il suffit de télécharger et de démarrer l’installateur exe. Un redémarrage n’est généralement pas nécessaire et tous vos paramètres personnels restent inchangés.

Mettre à jour WinPcap

Les nouvelles versions de WinPcap sont moins fréquentes. Vous trouverez les instructions de mise à jour de WinPcap dans le site Web de WinPcap à https://www.winpcap.org/. Vous devrez peut-être redémarrer votre machine après avoir installé une nouvelle version de WinPcap.

Désinstaller Wireshark

Vous pouvez désinstaller Wireshark à l’aide du panneau de configuration Programmes et fonctionnalités. Sélectionnez l’entrée “Wireshark” pour lancer la procédure de désinstallation.

Le désinstallateur Wireshark offre plusieurs options de suppression. La valeur par défaut consiste à supprimer les composants principaux, mais à garder vos paramètres personnels et WinPcap. WinPcap est installé par défaut dans le cas où d’autres programmes en ont besoin.

Désinstaller WinPcap

Vous pouvez désinstaller WinPcap indépendamment de Wireshark en utilisant l’entrée WinPcap dans le panneau de configuration Programmes et fonctionnalités. N’oubliez pas que si vous désinstallez WinPcap, vous ne pourrez rien capturer avec Wireshark.

3.2. Installation de Wireshark sous MacOS

Les paquets MacOS officiels sont distribués sous forme d’images de disque (.dmg) contenant l’installateur de l’application. Pour installer Wireshark, ouvrez simplement l’image du disque et exécutez le programme d’installation ci-joint.

Le package d’installation comprend Wireshark, ses utilitaires de ligne de commande associés et un démon de lancement qui ajuste les autorisations de capture lors du démarrage du système. Consultez le fichier inclus Read me first pour plus de détails.

3.3. Installation des fichiers binaires sous UNIX

En général, l’installation de la binaire sous votre version d’UNIX sera spécifique aux méthodes d’installation utilisées avec votre version d’UNIX. Par exemple, sous AIX, vous utiliserez smit pour installer le package binaire Wireshark, alors que sous Tru64 UNIX (anciennement Digital UNIX), vous utiliserez setld.

Installation à partir de RPM sous Red Hat et similaire

La création de RPM à partir du code source de Wireshark génère plusieurs paquets la plupart des distributions suivent le même système) :

  • Le paquet wireshark contient les bibliothèques Wireshark principales et les outils de ligne de commande.
  • Le paquet wireshark-qt contient l’interface graphique basée sur Qt.
  • Le paquet wireshark-gtk (anciennement wireshark-gnome) contient l’interface graphique basée sur Gtk +.

De nombreuses distributions utilisent yum ou un outil de gestion de package similaire pour faciliter l’installation de logiciels (y compris ses dépendances). Si votre distribution utilise yum, utilisez la commande suivante pour installer Wireshark avec l’interface graphique Qt :

yum install wireshark wireshark-qt

Si vous avez créé vos propres RPM à partir des sources Wireshark, vous pouvez les installer en exécutant, par exemple :

rpm -ivh wireshark-2.0.0-1.x86_64.rpm wireshark-qt-2.0.0-1.x86_64.rpm

Si la commande ci-dessus échoue en raison des dépendances manquantes, installez d’abord les dépendances, puis réessayez l’étape ci-dessus.

Installation Dpkg sous Debian, Ubuntu et autres dérivés Debian

Si vous pouvez simplement installer à partir du dépôt, utilisez :

$ aptitude install wireshark

Aptitude devrait s’occuper de tous les problèmes de dépendance pour vous.

Utilisez la commande suivante pour installer le fichier deb de Wireshark sous Debian :

$ dpkg -i wireshark-common_2.0.5.0-1_i386.deb wireshark_wireshark-2.0.5.0-1_i386.deb

Dans ce dernier cas, Dpkg ne prend pas en charge toutes les dépendances, mais indique ce qui manque.

La capture nécessite des privilèges

En installant des packages Wireshark, les utilisateurs non root n’obtiennent pas de droits automatiquement pour capturer des paquets. Pour permettre aux utilisateurs non-root de capturer des paquets, suivez la procédure décrite dans /usr/share/doc/wireshark-common/README.Debian.

Installation sous Gentoo Linux avec portage

Utilisez la commande suivante pour installer Wireshark sous Gentoo Linux avec toutes les fonctionnalités supplémentaires :

$ USE="c-ares gtk ipv6 portaudio snmp ssl kerberos threads selinux" emerge wireshark

Installation sous FreeBSD avec packages

Utilisez la commande suivante pour installer Wireshark sous FreeBSD :

$ pkg_add -r wireshark

La commande pkg_add devrait prendre en charge tous les problèmes de dépendance pour vous.

4. Sources

Vous pourriez aimer aussi

Asterisk Avancé

8 minutes de lecture

Voici une dernnière étape qui propose de s’interfacer avec des bases de données et d’exploiter l’API d’Asterisk, de procéder aux sauvegardes et à la mise à jour d’Asterisk. Enfin, le propos s’intéresse au “Text-to-speech”.

Asterisk intermédiaire

14 minutes de lecture

On trouvera ici une seconde étape pratique dans l’étude d’Asterisk : interactivité, connectivité externe, boites vocales, sécurité du trafic sont au menu de cet exercice.

Asterisk Concepts de bases

32 minutes de lecture

Ce chapitre est un exercice complet d’installation et de configuration d’un central téléphonique IP (IP PBX) simple avec Asterisk. Il permet de s’initier rapidement à la programmation et à la manipulation du logiciel, à manipuler les comptes SIP et le plan d’appel (dialplan).

Asterisk Core PABX

24 minutes de lecture

Voici une introduction au logiciel de téléphonie Asterisk.