Wireshark – Comment marquer des paquets pour les identifier plus facilement ?
Sommaire
I. Présentation
Dans cet article, nous allons aborder une nouvelle notion de Wireshark : le marquage de paquets ! Grâce au marquage de paquets, nous allons pouvoir retrouver facilement certains paquets dans une capture réseau. Utile pour estampiller les paquets qui nous intéressent vraiment.
Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :
- Tutoriel - Installation pas-à-pas de Wireshark
- Tutoriel - Découverte de l'interface Wireshark
- Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
- Tutoriel - Wireshark et les filtres de capture
- Tutoriel - Wireshark et les filtres d'affichage
- Tutoriel - Wireshark et la résolution de noms
- Tutoriel - Wireshark et les commentaires
- Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
- Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
- Tutoriel - Wireshark - Comment décoder un protocole ?
- Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
- Tutoriel - Wireshark - Créer une capture en continue (sans saturer sa machine)
- Tutoriel - Wireshark - fusionner des fichiers de capture avec Mergecap
- Téléchargement - Wireshark
C'est parti !
II. Comment marquer des paquets ?
Le marquage de paquets s’effectue dans la liste des paquets de votre capture réseau. Ici, on part du principe que vous disposez déjà d'une capture sur laquelle travailler.
Effectuez un clic droit sur le paquet que vous souhaitez marquer et cliquer sur « Marquer/Démarquer le(s) paquet(s) ». Comme ceci :
Votre paquet marqué apparait avec une écriture blanche sur un fond bleu marine comme ci-dessous, sur la barre du bas de Wireshark apparait une nouvelle information « Marqués : 1 (0.0%) ». Wireshark vous indique sur la barre du bas le nombre de paquets marqués et le pourcentage de paquets marqués sur votre capture réseau.
N.B : Vous pouvez démarquer un paquet en faisant la même procédure que pour marquer un paquet, puisque c'est la même option dans le menu contextuel.
III. Filtre d’affichage pour les paquets marqués
Pour retrouver facilement vos paquets marqués, vous pouvez utiliser le filtre d’affichage suivant : « frame.marked==1 ». Et là, on visualise uniquement les paquets marqués. Pratique.
IV. Démarquer des paquets marqués dans votre capture réseau
Vous pouvez démarquer un paquet marqué avec la même méthode que pour marquer un paquet, mais cela peut-être fastidieux à réaliser si vous avez un nombre important de paquets marqués.
Donc voici une autre méthode, qui supprimera ce tag sur l’ensemble des paquets marqués de votre capture réseau.
Pour cela, cliquez sur « Editer » et ensuite « Désélectionner tous les éléments affichés ».
Résultat, tous les paquets sont démarqués ! On peut remarquer que l’information du nombre de paquets marqués à disparu dans la barre du bas de Wireshark.
V. Conclusion
Suite à la lecture de ce tutoriel, vous êtes capable de marquer rapidement des paquets sur Wireshark ! Ceci va vous permettre de repérer rapidement les paquets que vous souhaitez analyser plus tard. Le prochain article sera sur la gestion du temps dans Wireshark.
Salut Yohan,
Merci pour tes partages !