Codes couleurs dans Wireshark

I. Présentation

Lors de l'utilisation de l’outil d'analyse de paquet Wireshark, on est habitué à voir un ensemble de couleur dans notre analyse réseau, mais il arrive rarement que l'on ait le temps de se demander à quoi ces couleurs servent, c'est ce que nous allons voir dans cet article :

couleur wireshark
Codes couleurs habituels dans Wireshark

En effet, dans Wireshark, presque chaque ligne représentant un paquet à une couleur spécifique. Nous allons voir que nous pouvons non seulement gérer ces couleurs et leurs conditions d'affichage, mais également en créer de nouvelles.

II. Couleur Wireshark, plus que pratique !

Une fois votre capture réseau faite, il suffit d'aller dans le panneau menu "View" puis dans "Coloring Rules" pour afficher les règles de couleurs affectées à votre capture de paquets :

couleur wireshark
Accès à la gestion des règles de couleurs dans Wireshark

Vous allez alors voir les règles par défaut présentes dans Wireshark et les filtres qui leur sont associés. On comprend alors directement l'intérêt des couleurs dans les captures réseau. Par exemple, un paquet qui apparaîtra en jaune pâle sera un paquet qui matchera avec le filtre "ARP", un filtre présent par défaut dans Wireshark qui met en avant les paquets utilisant le protocole ARP. Les paquets apparaissant en rouge avec une écriture blanche concernent en revanche des problèmes de TTL, les paquets rouges avec une écriture jaune les TCP avec le flag RST à 1 ou les SCTP ABORT, etc.

couleur wireshark
Règles de couleurs par défaut dans Wirehsark

Vous remarquez que l'on peut très facilement importer et exporter la liste des règles de couleurs. On peut également modifier l'ordre d'affectation des règles pour affiner nos recherches grâce au cadre de droite.

III. Modifier et ajouter des codes couleurs dans Wireshark

Le plus intéressant dans la découverte de cette fonctionnalité est bien sûr l'ajout de nos propres règles ! Cela permet d'adapter l'outil Wireshark à notre besoin et notre capture réseau. Il est en plus très simple d'ajouter des règles ou de modifier des règles existantes. Pour en ajouter, il faut cliquer sur "New", apparaîtra alors cette nouvelle fenêtre  :

couleur wireshark
Ajout d'une règle de couleur dans Wireshark

Ici, on peut donner un nom à notre règle puis lui affecter le filtrage qui va nous permettre de trier nos paquets. Il faut pour les règles avancées être à l'aise avec les filtrages Wireshark. Pour faire simple dans le cadre de l'article, nous allons affecter un filtrage DNS en utilisant "DNS", un filtre présent par défaut dans Wirehsark. Ainsi, tous les paquets UDP visant le port 53 vont matcher avec ce filtre. On va ensuite cliquer sur "Foreground Color" pour indiquer la couleur d'écriture et "Background Color" pour indiquer la couleur de fond de la ligne des paquets qui correspondront avec notre filtre :

couleur wireshark
Gestion de la couleur de fond de ma nouvelle règle

Une fois que l'on aura fini, on pourra voir notre nouvelle règle en haut de la liste des règles présentes par défaut dans Wireshark, libre à vous de la laisser en haut ou de changer sa position en fonction de vos besoins :

 

couleur wireshark
Nouvelle règle présente dans le panneau des règles Wireshark

Si l'on retourne dans notre capture réseau, on verra rapidement que notre règle permet de mettre en avant directement les paquets DNS comme on peut le voir avec une capture réseau que j'ai effectué comme exemple :

couleur wireshark
Règle Wireshark dans une capture de flux réseau

Une autre manipulation très pratique est de désactiver/réactiver les règles. Cela peut se faire très rapidement dans la fenêtre de gestion des règles de couleurs en cliquant sur Enable/Disable après avoir sélectionné une ou plusieurs règles. Par exemple, voici l'aperçu de ce que l'on peut avoir lorsque j'ai désactivé toutes les règles de couleurs sauf celle que je viens d'ajouter concernant le DNS :

couleur wireshark
Ici, une seule règle est affichée, les autres paquets apparaissent en blanc et noir

La détection des paquets correspondant à notre règle est encore plus claire dans ce cas.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael has 478 posts and counting.See all posts by mickael

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

     

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.