LabEx
EntrerRejoindre

Fusionner plusieurs fichiers de capture avec mergecap

Beginner
Pratiquer maintenant

Introduction

Dans l'analyse réseau et la criminalistique de sécurité, vous vous retrouvez souvent avec plusieurs fichiers de capture de paquets. Ceux-ci peuvent provenir de différentes périodes, différentes interfaces réseau ou différentes machines. Les analyser séparément peut être fastidieux et vous empêcher de voir l'image complète d'un événement réseau.

mergecap est un outil en ligne de commande qui fait partie de la suite Wireshark. Son objectif spécifique est de combiner plusieurs fichiers de capture en un seul fichier de sortie. Il fusionne intelligemment les paquets des fichiers d'entrée dans un ordre chronologique basé sur leurs horodatages, créant ainsi une vue unifiée pour l'analyse.

Dans ce laboratoire, vous apprendrez à utiliser mergecap pour fusionner plusieurs fichiers de capture d'échantillons.

Identifier plusieurs fichiers .cap issus de différents scans

Dans cette étape, vous identifierez les fichiers de capture d'échantillons qui ont été préparés pour vous dans l'environnement de laboratoire. Dans un scénario réel, ces fichiers auraient pu être générés en exécutant tcpdump ou Wireshark à différents moments.

Notre script de configuration a déjà créé trois fichiers : scan1.pcap, scan2.pcap et scan3.pcap. Listons le contenu du répertoire courant pour les visualiser. Tout votre travail sera effectué dans le répertoire ~/project.

Utilisez la commande ls -l pour lister les fichiers avec détails :

ls -l

Vous devriez voir une sortie similaire à la suivante, confirmant la présence de nos trois fichiers de capture. Les tailles et les horodatages peuvent varier légèrement.

total 12
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan1.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan2.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan3.pcap

Ces trois fichiers .pcap représentent les différentes sources de données que nous voulons combiner.

Comprendre l'utilité de la fusion de fichiers pour l'analyse

Dans cette étape, nous allons discuter des avantages de la fusion de fichiers de capture. Aucune commande n'est à exécuter ici ; cette section est destinée à la compréhension conceptuelle.

Lorsque vous enquêtez sur un problème réseau ou un incident de sécurité, avoir toutes les données pertinentes en un seul endroit est crucial. Voici pourquoi la fusion est si utile :

  1. Analyse chronologique : mergecap trie automatiquement les paquets de tous les fichiers d'entrée par leur horodatage. Cela vous permet de reconstruire une chronologie unique et chronologique des événements, ce qui est essentiel pour comprendre la cause et l'effet.
  2. Flux de travail simplifié : Au lieu d'ouvrir trois fichiers distincts dans Wireshark et de passer constamment de l'un à l'autre, vous pouvez travailler avec un seul fichier consolidé. Cela rend le filtrage, la recherche et l'analyse des données beaucoup plus efficaces.
  3. Vue complète : Imaginez que vous ayez capturé le trafic sur une machine cliente et un serveur simultanément. La fusion de ces deux captures vous permet de voir les deux côtés de la conversation dans un seul flux, offrant une image complète de l'interaction.

En fusionnant des fichiers, vous transformez des données fragmentées en un tout cohérent et analysable.

Utiliser la commande mergecap de la suite Wireshark

Dans cette étape, vous vous familiariserez avec la commande mergecap elle-même. Le script de configuration a déjà installé le paquet tshark, qui inclut l'utilitaire mergecap.

Pour vous assurer que mergecap est disponible et pour voir ses instructions d'utilisation de base, vous pouvez consulter sa page d'aide. C'est une bonne pratique pour comprendre les capacités de tout outil en ligne de commande.

Exécutez la commande mergecap avec l'indicateur -h (help) :

mergecap -h

Cela affichera une liste de toutes les options disponibles et leurs descriptions. La sortie ressemblera à ceci :

Mergecap (Wireshark) 4.0.x
Merge two or more capture files into one.
See https://www.wireshark.org for more information.

Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]

Output:
  -w <outfile>|-      set the output filename to <outfile> or '-' for stdout
  -a                  append packets to the end of the output file
...

Portez une attention particulière à l'option -w <outfile>. C'est l'indicateur le plus important, car il indique à mergecap où enregistrer la sortie combinée.

Spécifier le fichier de sortie avec -w et tous les fichiers d'entrée

Dans cette étape, vous effectuerez l'opération de fusion réelle. La syntaxe est simple : vous spécifiez le fichier de sortie avec -w, puis vous listez tous les fichiers d'entrée que vous souhaitez fusionner.

Nous allons combiner scan1.pcap, scan2.pcap et scan3.pcap en un seul nouveau fichier nommé merged_scans.pcap.

Exécutez la commande suivante dans votre terminal :

mergecap -w merged_scans.pcap scan1.pcap scan2.pcap scan3.pcap

La commande ne produira aucune sortie en cas de succès. Pour confirmer que le nouveau fichier a été créé, listez à nouveau les fichiers du répertoire :

ls -l

Vous devriez maintenant voir le fichier merged_scans.pcap dans la liste. Sa taille devrait être approximativement la somme des trois fichiers d'entrée.

total 16
-rw-r--r-- 1 labex labex 208 Oct 26 10:35 merged_scans.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan1.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan2.pcap
-rw-r--r-- 1 labex labex 160 Oct 26 10:30 scan3.pcap

Vous avez fusionné avec succès les trois fichiers sources en un seul.

Vérifier que le fichier fusionné contient des données de toutes les sources

Dans cette étape, vous vérifierez que le fichier fusionné contient effectivement les données combinées de tous les fichiers sources. Une façon simple de le faire est de vérifier le nombre de paquets dans les fichiers d'origine et de le comparer au nombre de paquets dans le fichier fusionné.

L'outil capinfos, également partie de la suite Wireshark, fournit des statistiques récapitulatives pour les fichiers de capture. Tout d'abord, vérifions le nombre de paquets pour l'un des fichiers d'origine :

capinfos scan1.pcap

La sortie affichera divers détails sur le fichier. Recherchez la ligne "Number of packets".

File name:           scan1.pcap
File type:           pcapng
...
Number of packets:   5
...

Comme vous pouvez le constater, scan1.pcap contient 5 paquets. Étant donné que nous avons créé les trois fichiers sources avec 5 paquets chacun, le fichier fusionné devrait contenir un total de 15 paquets.

Maintenant, exécutez capinfos sur le fichier fusionné :

capinfos merged_scans.pcap

Vérifiez le nombre de paquets dans la sortie :

File name:           merged_scans.pcap
File type:           pcapng
...
Number of packets:   15
...

Le "Number of packets" est de 15, ce qui confirme que les données des trois fichiers sources ont été fusionnées avec succès dans merged_scans.pcap.

Résumé

Dans ce laboratoire, vous avez acquis une compétence fondamentale pour l'analyse du trafic réseau. Vous avez commencé par identifier plusieurs fichiers de capture de paquets distincts. Vous avez ensuite appris la syntaxe de base de la commande mergecap et l'avez utilisée pour combiner les fichiers séparés en un seul fichier de capture unifié. Enfin, vous avez utilisé l'utilitaire capinfos pour vérifier que la fusion a réussi en confirmant que le nombre total de paquets dans le nouveau fichier correspondait à la somme des paquets des fichiers sources.

Vous êtes maintenant équipé pour consolider les captures réseau provenant de diverses sources, ce qui rationalisera considérablement votre flux de travail d'analyse.