Wireshark (ex : Ethereal) il s'agit d'un logiciel de visualisation et de capture de paquets réseau. Le logiciel est multi environnement (Windows / Linux). Son principal intéret est de pouvoir voir tout se qui reçu ou envoyé par l'interface réseau. Cela permet par exemple de déterminer une duplication d'adresse ou un service qui ne répond pas correctement.
Ici nous allons découvir le version Linux sous Debian.
1. Insallation du package Debian
sudo apt-get install wireshark
2. Configuration :
Après le premier lancement suivant la distribution il est possible qu'il n'y ait pas d'interface reconnu.
2.1 Sur CentOS 6.5 après installation du package aucune configuration n'était nécessaire pour que le logiciel prenne en charge les interfaces réseaux de la machine. Car une authentification root est demandée au lancement du logiciel
2.2 Sur Debian (Linux Mint 16) après l'installation aucune interface réseau n'est détectée avec un simple utilisateur.
Pour plus d'information voir: http://wiki.wireshark.org/CaptureSetup/CapturePrivileges.
Pour corriger rapidement le problème lancer :
dpkg-reconfigure wireshark-common
Un assistant vas demander si il faut reconfigurer le package pour l'autoriser à autoriser la capture sur les interfaces réseaux sans être utilisateur root. Cela va créer le groupe wireshark et l'autoriser à captuer les packets. Ensuite il nous reste plus qu'a rajouter notre utilisateur au groupe.
sudo addgroup monuser wireshark
Un rédémarrage de la station peu être nécessaire ensuite pour voir les interfaces réseaux avec le compte monuser.
3 Capture
3.1 Création d'un filtre de capture
Le filtre de capture a pour but de capturer uniquement le trafic suivant le filtre que nous avons défini sur notre interface.
-
- Interface de Wireshark
-
- Menu Capture -> Interfaces
-
- Vérifier que votre interface est sélectionnée et ensuite cliquer sur ‘Options’
-
- Double cliquer sur l’interface pour ouvir la fenêtre de spécification du filtre de capture
-
- 1 . Soit vous récupérer un filtre existant 2. Vous indiquer votre filtre 3. Vous vérifier la conformiter de votre filtre.
-
- Puis en lance la capture via le bouton start
3.2 Création d'un filtre d'affichage
Le filtre d'affichage permet sur des données déjà capturé d'afficher uniquement certain élément que nous définissons.
-
- Sélectionner notre interface de capture puis cliquer sur ‘Start’
-
- Ici on capture tout le trafic sans filtre
-
- Ensuite on peut créer un filtre d’affichage et l’appliquer sur la vue en cours.