Afficher la hiérarchie des protocoles dans Wireshark
Sommaire
I. Présentation
Lorsque l'on enregistre ou traite une capture de trame de taille conséquente dans Wireshark, il peut être intéressant de savoir comment sont répartis les protocoles en terme de poids ou de nombre de paquets dans cet enregistrement. Cela est faisable assez facilement dans Wireshark via une fonction prévue à cet effet.
II. Afficher la hiérarchie des protocoles
La hiérarchie des protocoles va nous permettre de savoir, pour une capture réseau donnée, la proportion des protocoles qui s'y trouvent. Dans Wireshark, cette proportion va être affichée sous forme de pourcentage. Depuis la capture réseau effectuée, il faut se rendre dans "Statistics" puis dans "Protocol Hierarchy" :
Une nouvelle fenêtre va alors apparaître, celle-ci se composera de plusieurs dizaines voir centaines de lignes en fonction de la diversité des protocoles présents dans votre capture réseau.
Dans cette capture que j'ai choisi en exemple, on peut voir que 28% des paquets transportaient un protocole chiffré via SSL (Secure Socket Layer) et 2.29% transportaient le protocole HTTP. On trouvera également une répartition par protocole de transport (95.16% de TCP et 4.74% d'UDP dans l'exemple ci-dessus), on pourra même descendre dans le modèle TCP/IP pour voir le pourcentage de trames en IPv4 IPv6, etc.
À droite de ces proportions, nous pourrons également avoir les données que ces pourcentages représentent en octets (Bytes), nombre de paquets, etc. Cela permet d'avoir des valeurs plus parlantes et précises.
III. Trier en fonction des protocoles
À partir de ces données et de cette fenêtre de hiérarchie, nous allons pouvoir effectuer différentes actions qui vont aller dans le sens du filtrage. Si je remarque par exemple que ma capture contient un nombre anormal de protocoles DNS et que je souhaite en savoir plus, on peut facilement faire un clic droit sur la ligne "Domain Name Service" puis appliquer un filtre à partir de cette ligne :
On va alors voir, après avoir cliqué sur "Selected" dans la partie "Apply as Filter" que le champ "Filter" de Wireshark s'est rempli automatiquement avec un filtre qui va dans le sens de l'affichage du protocole DNS :
Cela permet d'éviter d'avoir à rédiger nous même les filtres, ce qui peut être complexe lorsque l'on ne travaille pas souvent sur Wireshark ou que les filtres sont plusieurs conditions.
Une autre possibilité que nous allons pouvoir faire est la colorisation du protocole sélectionné dans la capture réseau pour le mettre en exergue. On va pour cela faire un clic droit sur le protocole que nous souhaitons (dans mon cas, toujours DNS), puis nous sélectionnons "Colorize Procedure" puis "Colorize Protocole" :
Ici, nous pourrons choisir, en fonction de notre choix, les couleurs à affecter. Nous pourrons au passage observer le filtre qui s'est encore une fois rempli automatiquement et que nous pouvons modifier au besoin :
Ici par exemple, je décide de mettre les paquets relatifs au protocole DNS en UDP avec un font vert. Une fois que j'aurais validé ce paramétrage, je pourrais retourner dans ma capture réseau pour observer ma modification :
Une petite note sur la différence entre "Apply as Filter" et "Prepare a Filter" . Le premier choix va directement appliquer le filtre sur le protocole que nous sélectionnons alors que le second va permettre de construire des filtrages plus complexes avec des "and" et des "or" :
Par exemple pour obtenir le filtre suivant, j'ai d'abord fait un "Prepare a Filter" puis "Selected" sur le protocole SSL, puis j'ai fait un "Apply a Filter" sur le protocole HTTP.
Dans un premier temps, ne vous souciez pas trop de cette différence, les deux options sont très similaires.
