L'administration du système

Bases de l'analyseur de protocole de réseau Wireshark sur Linux

Bases de l'analyseur de protocole de réseau Wireshark sur Linux

Wireshark n'est que l'un des outils précieux fournis par Kali Linux. Comme les autres, il peut être utilisé à des fins positives ou négatives. Bien sûr, ce guide couvrira la surveillance le tien trafic réseau pour détecter toute activité potentiellement indésirable.

Wireshark est incroyablement puissant, et il peut sembler intimidant au début, mais il sert l'objectif unique de surveiller le trafic du réseau, et toutes ces nombreuses options qu'elle met à disposition servent uniquement à améliorer sa capacité de surveillance.

Installation

Kali est expédié avec Wireshark. Cependant, le Wireshark-GTK Le package fournit une interface plus agréable qui fait du travail avec Wireshark une expérience beaucoup plus conviviale. Ainsi, la première étape de l'utilisation de Wireshark est l'installation du Wireshark-GTK emballer.

# apt installer wireshark-gtk

Ne vous inquiétez pas si vous utilisez Kali sur un médium en direct. Ça va toujours fonctionner.

Configuration de base

Avant de faire quoi que ce soit d'autre, il est probablement préférable de définir Wireshark comme vous serez le plus à l'aise de l'utiliser. Wireshark propose un certain nombre de dispositions différentes ainsi que des options qui configurent le comportement du programme. Malgré leurs chiffres, les utiliser est assez simple.

Commencez par ouvrir Wireshark-GTK. Assurez-vous que c'est la version GTK. Ils sont répertoriés séparément par Kali.

Mise en page

Par défaut, Wireshark a trois sections empilées les unes sur les autres. La section supérieure est la liste des paquets. La section centrale est les détails du paquet. La section inférieure contient les octets de paquets bruts. Pour la plupart des utilisations, les deux premiers sont beaucoup plus utiles que les précédents, mais peuvent toujours être des informations excellentes pour les utilisateurs plus avancés.

Les sections peuvent être élargies et contractées, mais cette disposition empilée n'est pas pour tout le monde. Vous pouvez le modifier dans le menu «Préférences» de Wireshark. Pour y arriver, cliquez sur «Modifier» puis «Préférences…» en bas de la liste déroulante. Qui ouvrira une nouvelle fenêtre avec plus d'options. Cliquez sur «Disposition» sous «Interface utilisateur» dans le menu latéral.

Vous verrez maintenant différentes options de mise en page disponibles. Les illustrations en haut vous permettent de sélectionner le positionnement des différentes vitesses et les sélecteurs de bouton radio vous permettent de sélectionner les données qui iront dans chaque volet.

L'onglet ci-dessous, étiqueté «colonnes», vous permet de sélectionner quelles colonnes seront affichées par Wireshark dans la liste des paquets. Sélectionnez uniquement ceux avec les données dont vous avez besoin, ou laissez-les tous vérifier.

Barres d'outils

Il n'y a pas trop que vous puissiez faire avec les barres d'outils de Wireshark, mais si vous souhaitez les personnaliser, vous pouvez trouver un paramètre utile sur le même menu «disposition» que les outils d'arrangement de volets dans la dernière section. Il existe des options de barre d'outils directement sous les options de volet qui vous permettent de modifier la façon dont les barres d'outils et les éléments de la barre d'outils sont affichés.

Vous pouvez également personnaliser les barres d'outils affichées sous le menu «Afficher» en les vérifiant et en les décocher.

Fonctionnalité

La majorité des commandes pour modifier la collecte des paquets de captures Wireshark peuvent être trouvées sous «Capture» dans «Options."

La section «Capture» supérieure de la fenêtre vous permet de sélectionner les interfaces de réseautage que Wireshark devrait surveiller. Cela pourrait différer considérablement en fonction de votre système et de la façon dont il est configuré. Assurez-vous simplement de cocher les bonnes cases pour obtenir les bonnes données. Les machines virtuelles et leurs réseaux d'accompagnement apparaîtront dans cette liste. Il y aura également plusieurs options pour plusieurs cartes d'interface réseau.

Directement en dessous de la liste des interfaces réseau se trouvent deux options. On vous permet de sélectionner toutes les interfaces. L'autre vous permet d'activer ou de désactiver le mode promiscuité. Cela permet à votre ordinateur de surveiller le trafic de tous les autres ordinateurs du réseau sélectionné. Si vous essayez de surveiller l'ensemble de votre réseau, c'est l'option que vous souhaitez.

AVERTISSEMENT: L'utilisation de mode promiscueux sur un réseau que vous ne possédez pas ou que vous avez la permission de surveiller est illégal!

En bas à gauche de l'écran se trouvent les sections «Options d'affichage» et «Résolution du nom». Pour les «options d'affichage», c'est probablement une bonne idée de laisser les trois vérifiés. Si vous voulez les décocher, ça va, mais «mettre à jour la liste des paquets en temps réel» devrait probablement rester vérifié à tout moment.

Sous «Résolution du nom», vous pouvez choisir votre préférence. Avoir plus d'options vérifiées créera plus de demandes et encombrera votre liste de paquets. La vérification des résolutions Mac est une bonne idée de voir la marque du matériel de mise en réseau utilisé. Il vous aide à identifier les machines et les interfaces interagissent.

Capture

La capture est au cœur de Wireshark. Son objectif est le principal moniteur et enregistre le trafic sur un réseau spécifié. Il fait cela, sous sa forme la plus élémentaire, très simplement. Bien sûr, plus de configuration et d'options peuvent être utilisées pour utiliser plus de puissance de Wireshark. Cette section d'introduction, cependant, s'en tiendra à l'enregistrement le plus élémentaire.

Pour démarrer une nouvelle capture, appuyez sur le nouveau bouton de capture en direct. Ça devrait ressembler à une nageoire de requin bleu.

Lors de la capture, Wireshark rassemblera toutes les données de paquets qu'elle peut et l'enregistrera. Selon vos paramètres, vous devriez voir de nouveaux paquets arriver dans le volet «Liste des paquets». Vous pouvez cliquer sur chacun que vous trouvez intéressant et enquêter en temps réel, ou vous pouvez simplement vous éloigner et laisser Wireshark fonctionner.

Lorsque vous avez terminé, appuyez sur le bouton «Arrêtez» carré rouge. Maintenant, vous pouvez choisir d'enregistrer ou de jeter votre capture. Pour enregistrer, vous pouvez cliquer sur «Fichier» puis «Enregistrer» ou «Enregistrer sous."

Données de lecture

Wireshark vise à vous fournir toutes les données dont vous aurez besoin. Ce faisant, il collecte une grande quantité de données liées aux paquets de réseau qu'il surveillait. Il essaie de rendre ces données moins intimidantes en la décomposant dans des onglets pliables. Chaque onglet correspond à un morceau des données de demande liées au paquet.

Les onglets sont empilés dans l'ordre du niveau le plus bas au plus haut niveau. L'onglet supérieur contiendra toujours des données sur les octets contenus dans le paquet. L'onglet le plus bas variera. Dans le cas d'une demande HTTP, il contiendra les informations HTTP. La majorité des paquets que vous rencontrez seront des données TCP, et ce sera l'onglet inférieur.

Chaque onglet contient des données pertinentes pour cette partie du paquet. Un paquet HTTP contiendra des informations relatives au type de demande, le navigateur Web utilisé, l'adresse IP du serveur, le langage et les données de codage. Un paquet TCP contiendra des informations sur les ports utilisés à la fois sur le client et le serveur ainsi que les drapeaux utilisés pour le processus de poignée de main TCP.

Les autres champs supérieurs contiendront moins d'informations qui intéresseront la plupart des utilisateurs. Il existe un onglet contenant des informations sur la transfert ou non du paquet via IPv4 ou IPv6 ainsi que les adresses IP du client et du serveur. Un autre onglet fournit les informations d'adresse MAC pour la machine client et le routeur ou la passerelle utilisée pour accéder à Internet.

Réflexions de clôture

Même avec ces bases, vous pouvez voir à quel point un outil de Wireshark peut être puissant. La surveillance de votre trafic réseau peut aider à arrêter les cyberattaques ou simplement à améliorer les vitesses de connexion. Il peut également vous aider à chasser les applications problématiques. Le prochain guide Wireshark explorera les options disponibles pour le filtrage des paquets avec Wireshark.

Tutoriels Linux connexes:

  • Comment doubler Kali Linux et Windows 10
  • Liste des meilleurs outils Kali Linux pour les tests de pénétration et…
  • Comment surveiller l'activité du réseau sur un système Linux
  • Choses à installer sur Ubuntu 20.04
  • Comment imprimer l'arbre du répertoire à l'aide de Linux
  • Comment installer Kali Linux dans VMware
  • Comment vérifier l'utilisation du disque par dossier sur Linux
  • Une introduction à l'automatisation Linux, des outils et des techniques
  • Analyseur de journal Linux Apache
  • Comment trouver les plus grands répertoires de Linux