Wireshark : créer une capture en continue (sans saturer sa machine)

I. Présentation

Dans ce tutoriel, nous allons aborder la gestion de la capture continue sur Wireshark et les différentes options que nous pouvons utiliser pour éviter de saturer en mémoire vive ou en espace disque lors d’une capture sur une longue période.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

II. Configuration des fichiers de capture de sortie

La configuration des options de capture s’effectue au lancement de Wireshark avant de lancer une capture réseau. Il suffit de cliquer sur l'icône en forme de roue cranter en haut pour accéder aux paramètres de configuration de la capture réseau.

Accès aux paramètres de Wireshark

Une nouvelle fenêtre s’ouvre sur les options de capture.

Wireshark - Les options de capture

Par défaut on arrive sur l’onglet « Entrée », ici on sélectionne notre carte réseau à partir de laquelle nous souhaitons capturer le trafic réseau.

Pour configurer les options de sorties, il faut aller sur l’onglet « Sortie ».

Wireshark - Options de capture - Onglet Sortie

L’onglet sortie permet de configurer la création de nouveaux fichiers suivant certains paramètres que nous allons détailler.

La première partie correspond à la configuration du nom et de l’emplacement du fichier de capture.

En dessous de « Capture vers un fichier permanent », cliquez sur « Parcourir… ». Une nouvelle fenêtre s’ouvre pour vous permettre d'indiquer l’emplacement de la capture et le nom de votre fichier de capture.

Une fois que vous avez choisi l’emplacement et le nom de votre fichier de capture, vous cliquez sur « Enregistrer » pour prendre en compte la modification. Ici, je vais appeler mon fichier  "capture_continu" tout simplement.

Wireshark - Capturer vers un fichier permanent

Ensuite, il faut configurer le format du fichier de capture, deux choix possibles : pcap qui est le format historique ou pacpng qui est le format de fichier de capture plus récent. Ici je vais choisir « pcapng ».

Wireshark - Format de sortie pcapng ou pcap

Maintenant que notre fichier de capture est configuré, nous allons voir comment effectuer une trace réseau circulaire.

La trace réseau circulaire permet de créer plusieurs fichiers de capture qui ont pour but :

  • Réduire la taille du fichier capture
  • Faciliter l’analyse avec des fichiers plus petits
  • Eviter la saturation mémoire de votre ordinateur pour la gestion du fichier en écriture en live et d’analyse du fichier à froid avec Wireshark

Je vais m’appuyer sur l’image ci-dessus pour expliquer les différentes possibilités.

Pour effectuer un fichier de capture circulaire, il faut cocher l’option « Crée un nouveau fichier de capture automatiquement… ».

Après, nous allons spécifier comment Wireshark va créer un nouveau fichier :

  • Sur le nombre de paquets capturés
  • La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
  • Le temps de capture : secondes, minutes ou heures
  • Un multiple de temps en secondes, minutes ou heures par rapport à l’horloge de votre ordinateur

Personnellement, j’utilise seulement l’option de la taille de la capture et je limite à 100Mo pour éviter d’avoir des fichiers trop lourds à charger pour l’analyse a posteriori.

Vous avez la possibilité aussi de compresser le fichier de capture au format gzip.

La dernière option disponible est d’utiliser un tampon circulaire, attention cette option écrase le fichier le plus ancien.

Je m'explique. Vous spécifier un tampon circulaire de 5 fichiers. Quand il va écrire le sixième fichier, il va écraser le premier fichier de capture car, vous aurez seulement cinq fichiers d’enregistrés sur votre disque.

Après avoir expliqué les options de sortie, voici ma configuration pour ce tutoriel :

Wireshark - Configurer trace réseau circulaire

N.B : il est possible de cocher plusieurs conditions.

III. Configuration des options du fichier de capture

Maintenant il reste un onglet à configurer : « Options ».

Donc, cliquez sur l’onglet « Options ».

Wireshark - Options de capture - Onglet Options

Dans notre tutoriel, la partie qui va nous intéresser et les options d’arrêt de la capture.

Comme pour la création d’un fichier de capture, nous allons retrouver les mêmes possibilités :

  • Le nombre de paquets
  • Le nombre de fichiers
  • La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
  • Le temps de capture : secondes, minutes ou heures

On peut spécifier un répertoire pour stocker les fichiers de capture temporaires.

Pour ce tutoriel, je vais spécifier un arrêt de capture après trois fichiers créés :

Wireshark - Arrêt après X fichiers de capture

IV. Démonstration

A. Lancer la capture

Pour rappel, la configuration de la capture continue est la suivante :

  • Format du fichier de capture : pcapng
  • Activation de la création d’un nouveau fichier de capture avec comme option création d’un nouveau fichier tous les cinquante paquets
  • Un arrêt automatique au bout de trois fichiers créés

Il ne reste plus qu’à lancer Wireshark en cliquant sur le bouton « Démarrer ».

Wireshark - Démarrer la capture

Une fois la capture lancée, Wireshark va créer automatiquement les trois fichiers de 50 paquets et s’arrêter à ce dernier.

B. Naviguer entre les différents fichiers de capture

Pour lister les différents fichiers de capture, cliquer sur le menu « Fichier », ensuite encore une fois sur « fichier » et cliquez sur « Liste des fichiers ». Vous pouvez aussi naviguer entre les fichiers en utilisant les options de « Fichier suivant » et « Fichier précédent ».

Wireshark - Liste des fichiers

Une nouvelle fenêtre s’ouvre.

Wireshark - Liste des fichiers de la capture

En haut à gauche, Wireshark indique le nombre de fichiers et en bas l’emplacement des fichiers de capture. Pour accéder au contenu d'un fichier, il suffit de double cliquer dessus.

IV. Conclusion

Ce tutoriel va vous permettre de ne pas saturer votre ordinateur tout en prenant une trace réseau de longue durée 😊 ! Le prochain article sera sur la fusion de plusieurs fichiers de capture.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Yohan

Exerce depuis maintenant 10 ans et demi en tant que responsable d’infrastructure dans une entreprise d’assurance (2 ans en alternance). Plus spécialisé dans l'analyse de traces réseau et de métrologie NPMd , je connais les environnements Cisco ACI , catalyst, Alcatel entre autres, à travers le site it-connect.fr. Je souhaite pouvoir partager mon expérience et mes connaissances réseau. J'ai une chaîne YouTube dédiée à wireshark.

Nombre de posts de cet auteur : 21.Voir tous les posts

2 thoughts on “Wireshark : créer une capture en continue (sans saturer sa machine)

  • Salut

    à noter qu’en rajoutant un filtre de capture en entrée, Wireshark ne gardera les trames que des protocoles mentionnés

    udp port 5060 par exemple pour du sip

    ce qui allège d’autant le poids du fichier : on divise par 10 voire 100.

    cdt

    Répondre
  • Bonjour Thibault,

    Effectivement, après tout dépend dans quel cas on se trouve, quand je fais un troubleshooting je ne fais aucun filtre, pour éviter de manquer des flux de type : ICMP, DNS, LDAP….

    Quand je suis sur où se situe le problème là je mets un filtre de capture en place.

    Yohan

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.