Découverte de l’interface de Wireshark

I. Présentation

Poursuivons notre découverte de Wireshark avec ce second article où nous allons apprendre à lancer une capture mais également découvrir l’interface GUI de Wireshark. Dans le premier article, nous avions vu ensemble comment installer Wireshark sur Windows, même si, je vous rappelle qu'il est également disponible sur Linux et Mac.

II. Wireshark : comment lancer une capture ?

Une fois l’installation de Wireshark terminée, au premier lancement vous allez voir l’ensemble de vos cartes réseau apparaitre, comme ceci :

Lancer une capture Wireshark

Pour choisir votre interface de capture, vous pouvez vous référez à son adresse IP en laissant votre souris sur l’interface réseau. En laissant la souris sur le nom d'une interface, une info-bulle va apparaitre avec l'adresse IP associée à cette carte réseau. En complément, vous pouvez aussi regarder juste à côté des interfaces réseau car il y a un trait noir qui montre s'il y a de l’activité sur la carte réseau ou non.

Note : il est tout à fait possible de lancer une capture Wireshark en capturant le trafic en provenance de plusieurs cartes réseau, même si généralement on capture sur une seule carte réseau.

Si Wireshark détecte de l’activité sur la carte réseau, vous allez voir des sinusoïdales, sinon ça sera un trait noir horizontal.

Ensuite, vous pouvez faire un double-clique pour lancer votre capture réseau ou clique droit "Start capture".

Il suffira d'appuyer sur le bouton "Stop" pour arrêter la capture, mais avant cela, lisez la suite de cet article.

III. L'interface de Wireshark : menu, boutons, etc.

Intéressons-nous à l'interface de Wireshark, puisqu'elle contient de nombreux menus et boutons d'action. Sur cette première copie d’écran, vous pouvez voir l’interface par défaut de Wireshark lorsque qu’on lance une capture.

Afin d'étudier l'interface de Wireshark progressivement, nous allons décomposer l’interface de capture de Wireshark en 4 zones, mise en évidence sur l'image suivante :

A. Zone avec les menus et les boutons

La première zone correspond à la partie supérieure de l'interface et elle regroupe les différents menus de l'application, ainsi que divers boutons.

menu général avec les menus suivants :

  • Fichier : permet de sauvegarder votre capture réseau, d’exporter des objets, exporter l’analyse de paquets au format CSV par exemple
  • Editer : permet de modifier les préférences de Wireshark, d’ajouter des commentaires, configurer des profils
  • Vue : permet de modifier l’affichage de Wireshark, comme désactiver le coloriage des paquets ou créer des nouvelles règles de coloriage, de modifier le format d’affichage du temps….
  • Aller : permet de naviguer dans la liste des paquets capturés, par exemple pour atteindre un numéro de paquet directement….
  • Capture : permet d’arrêter la capture ou bien de la redémarrer ou d’ajouter des filtres de capture entre autre
  • Analyser : permet d’aller dans l’information expert de Wireshark qui va analyser la capture réseau, activer/désactiver des protocoles….
  • Statistiques : permet d’afficher les statistiques de votre capture réseau comme les conversations, la liste des protocoles….
  • Telephonie : permet d’afficher des statistiques sur des protocoles de téléphonie comme SIP, RTP….
  • Wireless : permet d’afficher des statistiques sur le Wi-Fi comme la liste des SSID ou Bluetooth
  • Outils : utilisation de script LUA ou bien Credential pour voir les mots de passe
  • Aide : aide de Wireshark

Quant à la barre d'outils, elle intègre des boutons très pratiques et qui ont la signification suivante :

Icône Signification
Démarrer la capture Démarrer la capture
Arrêter la capture
Redémarrer la capture en cours
Options de capture : changer l’interface de capture, ajouter des filtres de capture
Ouvrir un fichier de capture
Sauvegarder la capture
Fermer le fichier de capture
Recharger le fichier de capture
Trouver un paquet ou une valeur dans un paquet
Aller au paquet précédent / aller au paquet suivant
Aller à un numéro de paquet spécifique
Aller au premier paquet/aller au dernier paquet
Activer ou désactiver le défilement des paquets automatiquement lors de la capture
Activer ou désactiver le coloriage des paquets
Gestion de la taille du texte : agrandir/diminuer/taille par défaut du texte
Ajuster la taille des colonnes de la liste des paquets

Ensuite, nous retrouvons également quelques boutons dans la barre d’outils "Filtre d’affichage" :

Icône Signification
Enregistrer le filtre d’affichage
Appliquer le filtre d’affichage
Ecrire un filtre d’affichage
Historique des filtres d’affichage
Ajouter un bouton de filtre d’affichage

Les filtres d'affichages sont très pratiques et nous reviendrons sur cette fonctionnalité dans un futur article. Par exemple, un filtre d'affichage va permettre d'afficher uniquement les paquets qui correspondent à l'adresse IP source "192.168.1.1" ou uniquement les paquets correspondants au protocole HTTPS. On peut également créer des conditions telles que "OU" et "ET".

B. La liste des paquets capturés

Cette seconde zone de l'interface permet de visualiser les différents paquets capturés par Wireshark sur l'interface réseau sélectionnée pour cette capture.

Par défaut, plusieurs colonnes sont affichées dans l'interface, voici leur nom et leur signification.

  • Num : le numéro de paquet en sachant que le 1er paquet capturé à le numéro 1 et ainsi de suite...
  • Time : le temps écoulé entre le moment où Wireshark a capturé le paquet et le moment où l'on a démarré la capture (en secondes par défaut)
  • Source : adresse IP source qui a envoyé le paquet
  • Destination : adresse IP qui va recevoir ou a reçu le paquet
  • Protocol : protocole utilisé (DNS, TCP, TLS, SSH….)
  • Length : taille du paquet (entête protocolaire + données transportées)
  • Info : informations sur le paquet comme le port TCP, la requête applicative….

En complément de ces colonnes, des symboles s'affichent sur la gauche :

Icône Signification
Début d’une session
La requête applicative
La réponse applicative
Acquittement du paquet

C. Le détail du paquet

Le détail du paquet va reprendre le modèle OSI, sauf pour la couche 1, nous aurons des informations de temps, la taille du paquet ou bien la règle de coloriage associée.

Le reste va détailler l’ensemble des protocoles d’un paquet que ce soit les adresses MAC/IP, le protocole de transport utilisé (par exemple TCP) et le protocole applicatif. Par exemple :

D. La vue hexadécimale d’un paquet

La quatrième et dernière zone permet d'avoir un aperçu du paquet au format hexadécimal. Cela reprend l’ensemble des infos du détail d’un paquet, avec l'écriture hexadécimale à gauche et la correspondance à droite au niveau de la donnée applicative, à condition que la donnée ne soit pas chiffrée. Voici un exemple :

Juste en dessous de cette zone de l'interface Wireshark, nous avons également la barre d'état. Bien que discrète, elle va donner des informations à l'utilisateur :

Icône Signification
Information expert : suivant les erreurs rencontrées ou non, la couleur  de cet icône change
Propriétés du fichier de capture : temps de capture, débit moyen….
Le nombre de paquets total, le nombre de paquets affichés ou bien si Wireshark a drop des paquets avec les champs perdus
Nom du profil utilisé actuellement (on peut changer de profil suivant nos besoins)

IV. Conclusion

Dans ce second tutoriel, nous avons découvert l’interface de Wireshark. Dans le prochain article, nous verrons comment personnaliser l'interface de capture ou d'analyse de paquets de Wireshark afin de poursuivre notre initiation à Wireshark.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Yohan

Exerce depuis maintenant 10 ans et demi en tant que responsable d’infrastructure dans une entreprise d’assurance (2 ans en alternance). Plus spécialisé dans l'analyse de traces réseau et de métrologie NPMd , je connais les environnements Cisco ACI , catalyst, Alcatel entre autres, à travers le site it-connect.fr. Je souhaite pouvoir partager mon expérience et mes connaissances réseau. J'ai une chaîne YouTube dédiée à wireshark.

Nombre de posts de cet auteur : 21.Voir tous les posts

One thought on “Découverte de l’interface de Wireshark

  • Bonjour,
    Tuto très intéressant, vivement la suite.
    Merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.