Votre réseau est-il sécurisé? Comment analyser le trafic réseau avec Wireshark
Wireshark est le principal analyseur de protocole de réseau utilisé par les professionnels de la sécurité du monde entier. Il vous permet de détecter les anomalies dans les réseaux informatiques et d'en trouver les causes sous-jacentes. Nous montrerons comment utiliser Wireshark dans les sections suivantes.
Alors, comment ça marche? Et comment utilisez-vous réellement Wireshark pour capturer des paquets de données?
Comment fonctionne Wireshark?
L'ensemble de fonctionnalités robustes de Wireshark en a fait l'un des meilleurs outils pour résoudre les problèmes de réseau . De nombreuses personnes utilisent Wireshark, y compris des administrateurs réseau, des auditeurs de sécurité, des analystes de logiciels malveillants et même des attaquants.
Il vous permet d'effectuer des inspections approfondies des paquets réseau en direct ou stockés. Lorsque vous commencez à utiliser Wireshark, vous serez fasciné par la quantité d'informations qu'il peut offrir. Cependant, trop d'informations rend souvent difficile de rester sur la bonne voie.
Heureusement, nous pouvons atténuer cela grâce aux capacités de filtrage avancées de Wireshark. Nous en discuterons en détail plus tard. Le flux de travail consiste à capturer les paquets réseau et à filtrer les informations requises.
Comment utiliser Wireshark pour la capture de paquets
Une fois que vous démarrez Wireshark, il affichera les interfaces réseau connectées à votre système. Vous devriez remarquer des courbes représentant la communication réseau à côté de chaque interface.
Maintenant, vous devez choisir une interface spécifique avant de pouvoir commencer à capturer des paquets. Pour ce faire, sélectionnez le nom de l'interface et cliquez sur l'icône d' aileron de requin bleu. Vous pouvez également le faire en double-cliquant sur le nom de l'interface.
Wireshark commencera à capturer les paquets entrants et sortants pour l'interface sélectionnée. Cliquez sur l'icône de pause rouge pour arrêter la capture. Vous devriez voir une liste des paquets réseau pris au cours de ce processus.
Wireshark affichera la source et la destination de chaque paquet à côté du protocole. Cependant, la plupart du temps, vous serez intéressé par le contenu du champ d'information.
Vous pouvez inspecter des paquets individuels en cliquant dessus. De cette façon, vous pouvez afficher l'intégralité des données du paquet.
Comment enregistrer des paquets capturés dans Wireshark
Étant donné que Wireshark capte beaucoup de trafic, vous pouvez parfois les enregistrer pour une inspection ultérieure. Heureusement, la sauvegarde des paquets capturés avec Wireshark est sans effort.
Pour enregistrer des paquets, arrêtez la session active. Cliquez ensuite sur l'icône du fichier située dans le menu supérieur. Vous pouvez également utiliser Ctrl + S pour ce faire.
Wireshark peut enregistrer des paquets dans plusieurs formats, y compris pcapng, pcap et dmp. Vous pouvez également enregistrer les paquets capturés dans un format que d'autres outils d'analyse de réseau pourront utiliser ultérieurement.
Comment analyser les paquets capturés
Vous pouvez analyser les paquets précédemment capturés en ouvrant le fichier de capture. Une fois dans la fenêtre principale, cliquez sur Fichier> Ouvrir , puis sélectionnez le fichier enregistré correspondant.
Vous pouvez également utiliser Ctrl + O pour le faire rapidement. Une fois que vous avez analysé les paquets, quittez la fenêtre d'inspection en allant dans Fichier> Fermer .
Comment utiliser les filtres Wireshark
Wireshark offre une pléthore de capacités de filtrage robustes. Les filtres sont de deux types: les filtres d'affichage et les filtres de capture.
Utilisation des filtres d'affichage Wireshark
Les filtres d'affichage sont utilisés pour visualiser des paquets spécifiques de tous les paquets capturés. Par exemple, nous pouvons utiliser le filtre d'affichage icmp pour afficher tous les paquets de données ICMP.
Vous pouvez choisir parmi un grand nombre de filtres. De plus, vous pouvez également définir des règles de filtrage personnalisées pour les tâches triviales. Pour ajouter des filtres personnalisés, accédez à Analyser> Afficher les filtres . Cliquez sur l'icône + pour ajouter un nouveau filtre.
Utilisation des filtres de capture Wireshark
Les filtres de capture sont utilisés pour spécifier les paquets à capturer pendant une session Wireshark. Il produit beaucoup moins de paquets que les captures standard. Vous pouvez les utiliser dans des situations où vous avez besoin d'informations spécifiques sur certains paquets.
Entrez votre filtre de capture dans le champ juste au-dessus de la liste des interfaces dans la fenêtre principale. Sélectionnez le nom de l'interface dans la liste et saisissez le nom du filtre dans le champ ci-dessus.
Cliquez sur l'icône d' aileron de requin bleu pour commencer à capturer les paquets. L'exemple suivant utilise le filtre arp pour capturer uniquement les transactions ARP.
Utilisation des règles de coloration de Wireshark
Wireshark fournit plusieurs règles de coloration, qui étaient auparavant appelées filtres de couleur. C'est une fonctionnalité intéressante lors de l'analyse du trafic réseau étendu. Vous pouvez également les personnaliser en fonction de vos préférences.
Pour afficher les règles de coloration actuelles, accédez à Affichage> Règles de coloration . Vous trouverez ici les règles de coloration par défaut de votre installation.
Vous pouvez les modifier comme vous le souhaitez. De plus, vous pouvez également utiliser les règles de coloration d'autres personnes en important le fichier de configuration.
Téléchargez le fichier contenant les règles personnalisées, puis importez-le en sélectionnant Affichage> Règles de coloration> Importer . Vous pouvez exporter des règles de la même manière.
Wireshark en action
Jusqu'à présent, nous avons discuté de certaines des fonctionnalités principales de Wireshark. Faisons quelques opérations pratiques pour montrer comment elles s'intègrent.
Nous avons créé un serveur Go de base pour cette démonstration. Il renvoie un message texte simple pour chaque demande. Une fois le serveur en cours d'exécution, nous effectuerons des requêtes HTTP et capturerons le trafic en direct. Notez que nous exécutons le serveur sur l'hôte local.
Tout d'abord, nous lançons la capture de paquets en double-cliquant sur l'interface Loopback (localhost). L'étape suivante consiste à démarrer notre serveur local et à envoyer une requête GET. Nous utilisons curl pour ce faire.
Wireshark capturera tous les paquets entrants et sortants pendant cette conversation. Nous voulons voir les données envoyées par notre serveur, nous allons donc utiliser le filtre d'affichage http.response pour visualiser les paquets de réponse.
Désormais, Wireshark masquera tous les autres paquets capturés et affichera uniquement les paquets de réponse. Si vous regardez attentivement les détails du paquet, vous devriez remarquer les données en texte brut envoyées par notre serveur.
Commandes Wireshark utiles
Vous pouvez également utiliser diverses commandes Wireshark pour contrôler le logiciel depuis votre terminal Linux. Voici quelques commandes de base de Wireshark:
- WireShark démarre Wireshark en mode graphique.
- WireShark -h affiche les options de ligne de commande disponibles.
- WireShark -i INTERFACE sélectionne INTERFACE comme interface de capture.
Tshark est l'alternative en ligne de commande pour Wireshark. Il prend en charge toutes les fonctionnalités essentielles et est extrêmement efficace.
Analysez la sécurité du réseau avec Wireshark
Le riche ensemble de fonctionnalités et les règles de filtrage avancées de Wireshark rendent l'analyse des paquets productive et simple. Vous pouvez l'utiliser pour trouver toutes sortes d'informations sur votre réseau. Essayez ses fonctionnalités les plus élémentaires pour apprendre à utiliser Wireshark pour l'analyse de paquets.
Wireshark est disponible au téléchargement sur les appareils exécutant Windows, macOS et Linux.