LabEx
Se connecterInscription gratuite

Compresser les fichiers de capture dans Tshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous apprendrez à capturer, compresser et analyser le trafic réseau à l'aide de l'outil en ligne de commande tshark de Wireshark. Vous allez pratiquer les commandes essentielles pour la sélection d'interface, la sauvegarde de fichiers compressés et la lecture de paquets tout en vérifiant l'intégrité des données.

Les exercices couvrent la liste des interfaces, la capture de trafic en direct et l'inspection de fichiers compressés. En terminant ce laboratoire, vous acquerrez les compétences nécessaires pour gérer efficacement les captures de paquets au format compressé, optimisant ainsi l'espace de stockage sans compromettre la qualité des données.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} wireshark/packet_capture -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} wireshark/display_filters -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} wireshark/protocol_dissection -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} wireshark/packet_analysis -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} wireshark/commandline_usage -.-> lab-548918{{"Compresser les fichiers de capture dans Tshark"}} end

Capturer le trafic avec -i eth1

Dans cette étape, vous apprendrez à utiliser tshark, la version en ligne de commande de Wireshark, pour capturer le trafic réseau en direct. L'option -i vous permet de spécifier l'interface réseau à surveiller, ce qui est crucial lorsque votre machine a plusieurs connexions réseau.

  1. Tout d'abord, préparons notre espace de travail. Ouvrez le terminal dans votre machine virtuelle LabEx et accédez au répertoire du projet où nous allons stocker nos captures :

    cd ~/project

  2. Avant de commencer la capture, nous devons identifier les interfaces réseau disponibles. Exécutez cette commande pour les lister :

    tshark -D

    Vous verrez une sortie listant vos interfaces réseau, qui inclut généralement :

    1. eth1 (votre interface Ethernet principale)
2. any (toutes les interfaces)
3. lo (boucle locale pour la communication interne)

  3. Pour commencer à capturer des paquets sur votre interface réseau principale (généralement eth1), utilisez :

    tshark -i eth1

    Cela affiche le trafic réseau en temps réel défiler dans votre terminal - chaque ligne représente un paquet avec les adresses source/destination et les informations de protocole.

  4. Pour arrêter la capture continue (qui sinon s'exécuterait indéfiniment), appuyez sur Ctrl+C. Le terminal affichera ensuite les statistiques de capture, y compris le nombre total de paquets capturés.

  5. Pour vous entraîner, capturons exactement 5 paquets. Le drapeau -c limite le nombre de paquets capturés :

    tshark -i eth1 -c 5

    Cette commande s'arrête automatiquement après avoir capturé 5 paquets, vous donnant un échantillon gérable à examiner.

Sauvegarder avec Gzip en utilisant -w capture.pcap.gz

Dans cette étape, nous allons explorer comment stocker efficacement les captures de trafic réseau en les enregistrant directement au format compressé à l'aide de Tshark. La compression permet de réduire l'espace de stockage tout en conservant toutes les données de paquets d'origine. L'option -w de Tshark gère automatiquement la compression lorsque nous utilisons l'extension de fichier .gz.

  1. Tout d'abord, naviguons jusqu'à notre répertoire de travail où nous allons stocker les fichiers de capture. Cela garantit que tous nos fichiers restent organisés en un seul endroit :

    cd ~/project

  2. Maintenant, nous allons capturer le trafic réseau en direct et le sauvegarder compressé. La commande suivante fait trois choses importantes à la fois :

    • Spécifie l'interface réseau à surveiller (eth1)
    • Compresse automatiquement le fichier de sortie (remarquez l'extension .gz)
    • Limite la capture à 10 paquets à des fins de démonstration
    tshark -i eth1 -w capture.pcap.gz -c 10

    Lorsque la commande s'exécute, vous verrez Tshark compter chaque paquet capturé jusqu'à ce qu'il atteigne 10.

  3. Une fois la capture terminée, vérifions que notre fichier compressé a été correctement créé. Les options -lh affichent la taille du fichier au format lisible par l'homme :

    ls -lh capture.pcap.gz

    La sortie affiche les détails du fichier compressé, y compris sa taille (beaucoup plus petite qu'une capture non compressée) :

    -rw-r--r-- 1 labex labex 1.2K Mar 1 10:00 capture.pcap.gz

  4. Enfin, nous pouvons lire directement à partir du fichier compressé sans le décompresser manuellement. Cette commande affiche seulement les 3 premiers paquets pour confirmer que notre capture a fonctionné :

    tshark -r capture.pcap.gz -c 3

    Tshark gère automatiquement la décompression, vous montrant les détails des paquets exactement comme si vous aviez utilisé un fichier non compressé.

Lire un fichier compressé avec -r capture.pcap.gz

Dans cette étape, vous allez travailler avec le fichier de capture de paquets compressé (capture.pcap.gz) que vous avez créé précédemment. Nous allons utiliser l'outil en ligne de commande tshark de Wireshark pour lire et analyser ce fichier sans avoir besoin de le décompresser manuellement au préalable. Cela est particulièrement utile lorsqu'il s'agit de fichiers de capture volumineux qui prendraient beaucoup d'espace disque s'ils étaient décompressés.

  1. Tout d'abord, vérifions que nous sommes au bon endroit et que notre fichier de capture compressé existe. Les commandes suivantes permettront de naviguer jusqu'au répertoire du projet et de lister le fichier avec ses détails :

    cd ~/project
ls -l capture.pcap.gz

    Vous devriez voir le fichier compressé listé avec sa taille et ses autorisations. Cela confirme que nous sommes prêts à continuer.

  2. La commande de base pour lire le fichier de capture compressé affiche des résumés de paquets. Chaque ligne représente un paquet réseau avec des informations essentielles telles que l'horodatage, les adresses source/destination et le protocole :

    tshark -r capture.pcap.gz

    Notez que tshark gère automatiquement la compression gzip - nous n'avons pas besoin d'étapes de décompression séparées.

  3. Lorsque vous travaillez avec de gros fichiers, il est souvent utile de limiter la sortie. Cette commande affiche seulement les 5 premiers paquets, ce qui est pratique pour une vérification rapide :

    tshark -r capture.pcap.gz -c 5

    Le drapeau -c signifie "compte" et contrôle le nombre de paquets à afficher.

  4. Pour approfondir l'examen du contenu des paquets, nous utilisons le mode verbeux avec -V. Cet exemple montre les détails complets des 3 premiers paquets, y compris tous les en-têtes de protocole et les données de charge utile :

    tshark -r capture.pcap.gz -V -c 3

    La sortie verbeuse est inestimable lorsque vous avez besoin d'examiner des champs de paquet spécifiques ou de résoudre des problèmes réseau.

  5. Pour une analyse ciblée, nous pouvons filtrer les paquets par protocole. Cette commande affiche les 2 premiers paquets HTTP trouvés dans la capture :

    tshark -r capture.pcap.gz -Y "http" -c 2

    Le drapeau -Y applique un filtre d'affichage (similaire à la syntaxe du filtre principal de Wireshark).

  6. Enfin, pour obtenir des statistiques sur l'ensemble du fichier de capture sans afficher les paquets individuels, nous utilisons cette commande de comptage :

    tshark -r capture.pcap.gz -q -z io,stat,0

    Le -q rend la sortie silencieuse (en supprimant l'affichage des paquets), tandis que -z propose diverses options de statistiques. Cela donne un aperçu rapide de la taille et du contenu de la capture.

Vérifier avec -V

Dans cette étape, vous allez explorer le mode verbeux puissant de Wireshark en utilisant le drapeau -V. Ce mode révèle l'analyse complète des protocoles des paquets, vous montrant exactement ce qui se passe à chaque couche de la communication réseau. Il est particulièrement utile lorsque vous avez besoin d'examiner le contenu des paquets au-delà des seuls en-têtes de base.

  1. Tout d'abord, naviguons jusqu'à notre répertoire de travail et vérifions que notre fichier de capture compressé existe. La commande cd permet de changer de répertoire, tandis que ls -l affiche des informations détaillées sur le fichier :

    cd ~/project
ls -l capture.pcap.gz

  2. Maintenant, nous allons utiliser -V pour voir les détails complets des protocoles. Le drapeau -c 3 limite la sortie aux 3 premiers paquets, ce qui facilite l'analyse :

    tshark -r capture.pcap.gz -V -c 3

    La sortie de chaque paquet montrera des informations couche par couche, y compris les en-têtes Ethernet, IP et de la couche de transport, suivies de toute donnée de la couche application.

  3. Lorsque nous nous concentrons sur le trafic HTTP, nous combinons -V avec un filtre d'affichage (-Y). Cela affiche uniquement les paquets HTTP avec tous leurs détails de protocole :

    tshark -r capture.pcap.gz -Y "http" -V -c 2

  4. Pour l'analyse TCP, cette commande affiche un paquet TCP avec tous ses champs de protocole. Vous verrez les numéros de séquence, les indicateurs, la taille de la fenêtre et d'autres informations spécifiques à TCP :

    tshark -r capture.pcap.gz -V -Y "tcp" -c 1

  5. Les requêtes DNS révèlent des détails intéressants en mode verbeux. Cela affiche un seul paquet DNS, y compris le type de requête, la classe et la section de la question complète :

    tshark -r capture.pcap.gz -V -Y "dns" -c 1

  6. Enfin, nous pouvons vérifier s'il existe des paquets avec des sommes de contrôle erronées. Cela permet d'identifier d'éventuelles corruptions réseau ou problèmes de capture :

    tshark -r capture.pcap.gz -V -Y "tcp.checksum_bad==1" -c 1

Résumé

Dans ce laboratoire, vous avez appris à capturer, compresser et analyser efficacement le trafic réseau en utilisant l'outil en ligne de commande tshark de Wireshark. Vous avez pratiqué la capture de trafic en direct sur l'interface eth1 avec -i eth1 et la sauvegarde de fichiers compressés directement au format gzip en utilisant -w capture.pcap.gz.

Les exercices ont démontré comment gérer efficacement les captures de paquets en combinant la compression avec l'analyse. Vous avez vérifié la capacité à lire des fichiers compressés sans décompression manuelle en utilisant -r capture.pcap.gz, tout en maîtrisant les drapeaux essentiels tels que -i, -w, -r et -c.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant