Dans tout réseau à commutation de paquets, les paquets représentent des unités de données transmises entre ordinateurs. Il incombe aux ingénieurs réseau et aux administrateurs système de surveiller et inspecter les paquets pour la sécurité et à des fins de dépannage.
Pour ce faire, ils s’appuient sur des logiciels appelés analyseurs de paquets réseau, avec Wireshark peut-être le plus populaire et le plus utilisé en raison de sa polyvalence et de sa facilité d’utilisation. En plus de cela, Wireshark vous permet non seulement surveiller le trafic en temps réel, mais aussi pour l’enregistrer dans un fichier pour une inspection ultérieure.
Lecture connexe: Meilleurs outils de surveillance de la bande passante Linux pour analyser l’utilisation du réseau
Dans cet article, nous partagerons 10 conseils sur la façon d’utiliser Wireshark pour analyser les paquets dans votre réseau et espérons que lorsque vous atteindrez la section Résumé, vous vous sentirez enclin à l’ajouter à vos signets.
Installation de Wireshark sous Linux
À installer Wireshark, sélectionnez le bon programme d’installation pour votre système d’exploitation / architecture dans https://www.wireshark.org/download.html.
En particulier, si vous utilisez Linux, Wireshark doit être disponible directement à partir des référentiels de votre distribution pour une installation plus facile à votre convenance. Bien que les versions puissent différer, les options et les menus doivent être similaires – sinon identiques dans chacun d’eux.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark ------------ On CentOS/RHEL based Distros ------------ $ sudo yum install wireshark ------------ On Fedora 22+ Releases ------------ $ sudo dnf install wireshark
Il y a un bug connu dans Debian et les dérivés qui peuvent empêcher la liste des interfaces réseau, sauf si vous utiliser sudo pour lancer Wireshark. Pour résoudre ce problème, suivez la réponse acceptée dans ce post.
Une fois que Wireshark est en cours d’exécution, vous pouvez sélectionner l’interface réseau que vous souhaitez surveiller sous Capturer:
Dans cet article, nous utiliserons eth0, mais vous pouvez en choisir un autre si vous le souhaitez. Ne cliquez pas encore sur l’interface – nous le ferons plus tard une fois que nous aurons examiné quelques options de capture.
Définition des options de capture
Les options de capture les plus utiles que nous considérerons sont:
- Interface réseau – Comme nous l’avons expliqué précédemment, nous n’analyserons que les paquets qui transitent eth0, entrants ou sortants.
- Filtre de capture – Cette option nous permet d’indiquer quel type de trafic nous voulons surveiller par port, protocole ou type.
Avant de passer aux conseils, il est important de noter que certaines organisations interdisent l’utilisation de Wireshark dans leurs réseaux. Cela dit, si vous n’utilisez pas Wireshark à des fins personnelles, assurez-vous que votre organisation autorise son utilisation.
Pour le moment, sélectionnez simplement eth0 dans la liste déroulante et cliquez sur Début au bouton. Vous commencerez à voir tout le trafic passant par cette interface. Pas vraiment utile à des fins de surveillance en raison de la grande quantité de paquets inspectés, mais c’est un début.
Dans l’image ci-dessus, nous pouvons également voir le Icônes répertorier les interfaces disponibles, Arrêtez la capture actuelle et redémarrer (boîte rouge sur le la gauche) et pour configurer et modifier un filtre (boîte rouge sur le droite). Lorsque vous survolez l’une de ces icônes, une info-bulle s’affiche pour indiquer ce qu’elle fait.
Nous commencerons par illustrer les options de capture, tandis que les conseils #7 à travers #dix expliquera comment faire réellement quelque chose d’utile avec une capture.
CONSEIL # 1 – Inspectez le trafic HTTP
Type http dans la zone de filtre et cliquez sur Appliquer. Lancez votre navigateur et accédez au site de votre choix:
Pour commencer chaque astuce suivante, arrêtez la capture en direct et modifiez le filtre de capture.
CONSEIL # 2 – Inspectez le trafic HTTP à partir d’une adresse IP donnée
Dans cette astuce particulière, nous ajouterons ip==192.168.0.10&& à la strophe de filtre pour surveiller le trafic HTTP entre l’ordinateur local et 192.168.0.10:
CONSEIL # 3 – Inspectez le trafic HTTP vers une adresse IP donnée
Étroitement lié à # 2, dans ce cas, nous utiliserons ip.dst dans le cadre du filtre de capture comme suit:
ip.dst==192.168.0.10&&http
Pour combiner des conseils # 2 et # 3, vous pouvez utiliser ip.addr dans la règle de filtrage au lieu de ip.src ou ip.dst.
CONSEIL # 4 – Surveillez le trafic réseau Apache et MySQL
Parfois, vous serez intéressé à inspecter le trafic qui correspond à l’une des conditions (ou aux deux). Par exemple, pour surveiller le trafic sur les ports TCP 80 (serveur web) et 3306 (Serveur de base de données MySQL / MariaDB), vous pouvez utiliser un OR condition dans le filtre de capture:
tcp.port==80||tcp.port==3306
En conseils # 2 et # 3, || et le mot ou produire les mêmes résultats. Même avec && et le mot et.
CONSEIL N ° 5 – Rejeter les paquets à une adresse IP donnée
Pour exclure les paquets ne correspondant pas à la règle de filtrage, utilisez ! et placez la règle entre parenthèses. Par exemple, pour exclure des packages provenant ou dirigés vers une adresse IP donnée, vous pouvez utiliser:
!(ip.addr == 192.168.0.10)
CONSEIL # 6 – Surveillez le trafic du réseau local (192.168.0.0/24)
La règle de filtrage suivante n’affichera que le trafic local et exclura les paquets à destination et en provenance d’Internet:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
CONSEIL # 7 – Surveillez le contenu d’une conversation TCP
Pour inspecter le contenu d’un TCP conversation (échange de données), faites un clic droit sur un paquet donné et choisissez Suivre TCP courant. Une fenêtre apparaîtra avec le contenu de la conversation.
Cela comprendra HTTP les en-têtes si nous inspectons le trafic Web, ainsi que les informations d’identification en texte brut transmises au cours du processus, le cas échéant.
CONSEIL # 8 – Modifier les règles de coloration
À présent, je suis sûr que vous avez déjà remarqué que chaque ligne de la fenêtre de capture est colorée. Par défaut, HTTP le trafic apparaît dans le vert fond avec du texte noir, tandis que somme de contrôle les erreurs sont affichées dans rouge texte avec un fond noir.
Si vous souhaitez modifier ces paramètres, cliquez sur le Éditer icône de règles de coloration, choisissez un filtre donné et cliquez sur Éditer.
CONSEIL N ° 9 – Enregistrez la capture dans un fichier
La sauvegarde du contenu de la capture nous permettra de l’inspecter plus en détail. Pour ce faire, allez sur Fichier → Exporter et choisissez un format d’exportation dans la liste:
CONSEIL # 10 – Entraînez-vous avec des échantillons de capture
Si vous pensez que votre réseau est « ennuyeuse», Wireshark fournit une série d’exemples de fichiers de capture que vous pouvez utiliser pour vous entraîner et apprendre. Vous pouvez les télécharger SampleCaptures et les importer via le Fichier → Importer menu.
Résumé
Wireshark est un logiciel gratuit et open-source, comme vous pouvez le voir dans le Section FAQ du site officiel. Vous pouvez configurer un filtre de capture avant ou après le démarrage d’une inspection.
Au cas où vous ne l’auriez pas remarqué, le filtre possède une fonction de saisie semi-automatique qui vous permet de rechercher facilement les options les plus utilisées que vous pourrez personnaliser ultérieurement. Avec ça, le ciel est la limite!
Comme toujours, n’hésitez pas à nous laisser un message en utilisant le formulaire de commentaire ci-dessous si vous avez des questions ou des observations sur cet article.
Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer:
TecMint est le site communautaire à la croissance la plus rapide et le plus fiable pour tout type d’articles, guides et livres Linux sur le Web. Des millions de personnes visitent TecMint! pour rechercher ou parcourir les milliers d’articles publiés disponibles GRATUITEMENT pour tous.
Si vous aimez ce que vous lisez, pensez à nous acheter un café (ou 2) en signe d’appréciation.
Nous vous remercions de votre soutien sans fin.
.
