10 conseils sur la façon d'utiliser Wireshark pour analyser les paquets de votre réseau

Dans n'importe quel réseau à commutation de paquets, les paquets représentent des unités de données qui sont transmises entre les ordinateurs. Il est de la responsabilité des ingénieurs réseau et des administrateurs système de surveiller et d'inspecter les paquets à des fins de sécurité et de dépannage.

Pour ce faire, ils s'appuient sur des logiciels appelés analyseurs de paquets réseau, avec Wireshark Peut-être être le plus populaire et utilisé en raison de sa polyvalence et de sa facilité d'utilisation. En plus, Wireshark vous permet non seulement de surveiller le trafic en temps réel, mais aussi de l'enregistrer dans un fichier pour une inspection ultérieure.

Lecture connexe: Meilleurs outils de surveillance de la bande passante Linux pour analyser l'utilisation du réseau

Dans cet article, nous partagerons 10 conseils sur la façon d'utiliser Wireshark Pour analyser les paquets de votre réseau et espérez que lorsque vous atteignez la section Résumé, vous vous sentirez enclin à l'ajouter à vos signets.

Installation de Wireshark dans Linux

À installer Wireshark, Sélectionnez le bon installateur pour votre système d'exploitation / architecture dans https: // www.Wireshark.org / téléchargement.html.

En particulier, si vous utilisez Linux, Wireshark doit être disponible directement à partir des référentiels de votre distribution pour une installation plus facile à votre convenance. Bien que les versions puissent différer, les options et les menus doivent être similaires - sinon identiques dans chacun.

------------ Sur les distros basés sur Debian / Ubuntu ------------ $ sudo apt-get install wireshark ------------ Sur les distros basés sur Centos / Rhel ------------ $ sudo yum install wireshark ------------ Sur les versions de Fedora 22+ ------------ $ sudo dnf installer wireshark 

Il y a un bug connu dans Debian et des dérivés qui peuvent empêcher la liste des interfaces réseau à moins que vous n'utilisiez Sudo pour lancer Wireshark. Pour résoudre ce problème, suivez la réponse acceptée dans ce post.

Une fois Wireshark est en cours d'exécution, vous pouvez sélectionner l'interface réseau que vous souhaitez surveiller Capture:

Analyseur de réseau Wireshark

Dans cet article, nous utiliserons ETH0, Mais vous pouvez en choisir un autre si vous le souhaitez. Ne cliquez pas sur l'interface encore - nous le ferons plus tard une fois que nous aurons examiné quelques options de capture.

Définition des options de capture

Les options de capture les plus utiles que nous considérerons sont:

1. Interface réseau - Comme nous l'avons expliqué précédemment, nous analyserons uniquement les paquets ETH0, soit entrant ou venant.
2. Filtre de capture - Cette option nous permet d'indiquer le type de trafic que nous souhaitons surveiller par port, protocole ou type.

Avant de poursuivre les conseils, il est important de noter que certaines organisations interdisent l'utilisation de Wireshark Dans leurs réseaux. Cela dit, si vous n'utilisez pas Wireshark à des fins personnelles, assurez-vous que votre organisation autorise son utilisation.

Pour le moment, sélectionnez simplement ETH0 à partir de la liste déroulante et cliquez Commencer au bouton. Vous commencerez à voir tout le trafic passer par cette interface. Pas vraiment utile à des fins de surveillance en raison de la grande quantité de paquets inspectés, mais c'est un début.

Surveiller le trafic d'interface réseau

Dans l'image ci-dessus, nous pouvons également voir le Icônes Pour répertorier les interfaces disponibles, pour arrêt la capture actuelle, et pour redémarrage il (boîte rouge sur le gauche), et pour configurer et modifier un filtre (boîte rouge sur le droite). Lorsque vous survolez l'une de ces icônes, une info-bulle sera affichée pour indiquer ce qu'elle fait.

Nous commencerons par illustrer des options de capture, tandis que les conseils #7 à travers #dix discutera de la façon de faire quelque chose d'utile avec une capture.

Astuce n ° 1 - Inspectez le trafic HTTP

Taper http Dans la boîte de filtre et cliquez Appliquer. Lancez votre navigateur et accédez à n'importe quel site que vous souhaitez:

Inspecter le trafic réseau HTTP

Pour commencer chaque pointe suivante, arrêtez la capture en direct et modifiez le filtre de capture.

Astuce n ° 2 - Inspectez le trafic HTTP à partir d'une adresse IP donnée

Dans cette astuce particulière, nous allons appliquer ip == 192.168.0.dix&& à la strophe filtrante pour surveiller le trafic HTTP entre l'ordinateur local et 192.168.0.dix:

Inspecter le trafic HTTP sur l'adresse IP

Astuce n ° 3 - Inspectez le trafic HTTP vers une adresse IP donnée

Étroitement lié à # 2, Dans ce cas, nous utiliserons IP.DST Dans le cadre du filtre de capture comme suit:

IP.dst == 192.168.0.10 && http 

Surveillez le trafic réseau HTTP vers l'adresse IP

Pour combiner des conseils # 2 et # 3, vous pouvez utiliser IP.addr dans la règle du filtre au lieu de IP.SRC ou IP.DST.

Astuce n ° 4 - surveiller le trafic réseau Apache et MySQL

Parfois, vous serez intéressé à inspecter le trafic qui correspond à (ou les deux) des conditions. Par exemple, pour surveiller le trafic sur les ports TCP 80 (serveur Web) et 3306 (Serveur de base de données MySQL / MARIADB), vous pouvez utiliser un OU condition dans le filtre de capture:

TCP.port == 80 || TCP.port == 3306 

Surveiller le trafic Apache et MySQL

En pourboire # 2 et # 3, || Et le mot ou produire les mêmes résultats. Même avec && Et le mot et.

Astuce n ° 5 - Rejetez les paquets à l'adresse IP donnée

Pour exclure les paquets ne correspondant pas à la règle du filtre, utilisez ! et enfermer la règle entre parenthèses. Par exemple, pour exclure les packages provenant ou dirigés vers une adresse IP donnée, vous pouvez utiliser:

!(IP.addr == 192.168.0.dix) 

Astuce n ° 6 - surveiller le trafic du réseau local (192.168.0.0/24)

La règle de filtre suivante affichera uniquement le trafic local et exclura les paquets et provenant d'Internet:

IP.src == 192.168.0.0/24 et IP.dst == 192.168.0.0/24 

Surveiller le trafic réseau local

Astuce n ° 7 - Surveillez le contenu d'une conversation TCP

Pour inspecter le contenu d'un TCP Conversation (échange de données), cliquez avec le bouton droit sur un paquet donné et choisissez Suivre TCP flux. Une fenêtre apparaîtra avec le contenu de la conversation.

Cela comprendra Http les en-têtes si nous inspectons le trafic Web, ainsi que toutes les informations d'identification de texte brut transmises pendant le processus.

Surveiller la conversation TCP

Astuce n ° 8 - Modifier les règles de coloriage

Maintenant, je suis sûr que vous avez déjà remarqué que chaque ligne dans la fenêtre de capture est colorée. Par défaut, Http Le trafic apparaît dans le vert fond avec du texte noir, alors que somme de contrôle Les erreurs sont affichées dans rouge Texte avec un fond noir.

Si vous souhaitez modifier ces paramètres, cliquez sur le Modifier Icône de règles de coloration, choisissez un filtre donné et cliquez Modifier.

Personnalisez la sortie de Wireshark en couleurs

Astuce n ° 9 - Enregistrez la capture dans un fichier

Économiser le contenu de la capture nous permettra de pouvoir l'inspecter avec plus de détails. Pour faire ça, allez à Fichier → Exporter et choisissez un format d'exportation dans la liste:

Enregistrer la capture de Wireshark dans le fichier

Astuce n ° 10 - Pratiquez avec des échantillons de capture

Si vous pensez que votre réseau est «ennuyeux», Wireshark fournit une série d'échantillons de fichiers de capture que vous pouvez utiliser pour pratiquer et apprendre. Vous pouvez télécharger ces samplecaptures et les importer via le Fichier → Importer menu.

Résumé

Wireshark est un logiciel gratuit et open-source, comme vous pouvez le voir dans la section FAQ du site officiel. Vous pouvez configurer un filtre de capture avant ou après avoir commencé une inspection.

Dans le cas où vous ne l'avez pas remarqué, le filtre dispose d'une fonctionnalité d'observation automatique qui vous permet de rechercher facilement les options les plus utilisées que vous pouvez personnaliser plus tard. Avec ça, le ciel est la limite!

Comme toujours, n'hésitez pas à nous laisser une ligne en utilisant le formulaire de commentaire ci-dessous si vous avez des questions ou des observations sur cet article.