Wireshark

De ArchwikiFR

Wireshark est un logiciel libre d'analyse de paquets. Il est utilisé pour résoudre les problèmes de réseau, l'analyse, le développement de logiciels et de protocoles de communication, et l'apprentissage. À l'origine nommé Ethereal, le projet est renommé Wireshark en mai 2006 en raison de problèmes de propriété intellectuelle.

Installation

Le paquet wireshark est séparé en deux versions : -cli et -gtk (le paquet -gtk dépend du paquet -cli).

Pour installer l'interface graphique et le client en ligne de commande :

# pacman -S wireshark-gtk

Pour installer uniquement le client :

# pacman -S wireshark-cli

Utiliser Wireshark en tant que simple utilisateur

Il suffit de s'ajouter au groupe wireshark :

# gpasswd -a <username> wireshark

N'oubliez pas de vous reconnecter pour que les modifications prennent effet.

Quelques méthodes de capture

Il existe de nombreuses façons de capturer exactement ce que l'on cherche via Wireshark par l'utilisation des filtres.

Note: Pour apprendre la syntaxe des filtres, cf. man pcap-filter(7).

Filtrer les paquets TCP

Si vous souhaitez voir tous les paquets TCP récupérés, tapez tcp dans le champ "filtre".

Filtrer les paquets par le port

Si vous souhaitez ne récupérer que les paquets TCP transitant par un port spécifique, tapez tcp.port == "port" en remplaçant port par le port considéré.

Filtrer les paquets UDP

Si vous souhaitez voir tous les paquets UDP récupérés, tapez udp dans le champ "filtre".

Filtrer les paquets par le port

Si vous souhaitez ne récupérer que les paquets UDP transitant par un port spécifique, tapez udp.port == "port" en remplaçant port par le port considéré.

Filtrer les paquets par l'adresse IP

  • Si vous souhaitez voir toutes les données allant vers une adresse IP spécifique, tapez ip.dst == 1.2.3.4, en remplaçant 1.2.3.4 par l'adresse IP qui reçoit les paquets.
  • Si vous souhaitez voir toutes les données partant d'une adresse IP spécifique, tapez ip.src == 1.2.3.4, en changeant 1.2.3.4 par l'adresse IP qui envoie les données.
  • Si vous souhaitez voir toutes les données relatives à une adresse IP spécifique, tapez ip.addr == 1.2.3.4, en changeant 1.2.3.4 par l'adresse IP à filtrer.