Wireshark (ex : Ethereal) il s'agit d'un logiciel de visualisation et de capture de paquets réseau. Le logiciel est multi environnement (Windows / Linux). Son principal intéret est de pouvoir voir tout se qui reçu ou envoyé par l'interface réseau. Cela permet par exemple de déterminer une duplication d'adresse ou un service qui ne répond pas correctement.
Ici nous allons découvir le version Linux sous Debian.
1. Insallation du package Debian
sudo apt-get install wireshark
2. Configuration :
Après le premier lancement suivant la distribution il est possible qu'il n'y ait pas d'interface reconnu.
2.1 Sur CentOS 6.5 après installation du package aucune configuration n'était nécessaire pour que le logiciel prenne en charge les interfaces réseaux de la machine. Car une authentification root est demandée au lancement du logiciel
2.2 Sur Debian (Linux Mint 16) après l'installation aucune interface réseau n'est détectée avec un simple utilisateur.
Pour plus d'information voir: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges.
Pour corriger rapidement le problème lancer :
dpkg-reconfigure wireshark-common
Un assistant vas demander si il faut reconfigurer le package pour l'autoriser à autoriser la capture sur les interfaces réseaux sans être utilisateur root. Cela va créer le groupe wireshark et l'autoriser à captuer les packets. Ensuite il nous reste plus qu'a rajouter notre utilisateur au groupe.
sudo addgroup monuser wireshark
Un rédémarrage de la station peu être nécessaire ensuite pour voir les interfaces réseaux avec le compte monuser.
3 Capture
3.1 Création d'un filtre de capture
Le filtre de capture a pour but de capturer uniquement le trafic suivant le filtre que nous avons défini sur notre interface.
3.2 Création d'un filtre d'affichage
Le filtre d'affichage permet sur des données déjà capturé d'afficher uniquement certain élément que nous définissons.