Créer et appliquer des règles de coloration dans Wireshark

Introduction

Dans ce laboratoire, vous apprendrez à créer et à appliquer des règles de coloration dans Wireshark, un puissant analyseur de protocoles réseau. Ces règles vous permettent de différencier visuellement divers types de trafic réseau selon des critères spécifiques, facilitant ainsi l'identification et l'analyse des activités réseau qui vous intéressent.

À la fin de ce laboratoire, vous comprendrez mieux comment tirer parti des fonctionnalités de coloration de Wireshark. Cela renforcera vos compétences en analyse réseau et soutiendra vos enquêtes en cybersécurité.

Explorer et exporter les règles de coloration

Dans cette étape, nous commencerons par explorer les règles de coloration existantes dans Wireshark. Les règles de coloration dans Wireshark sont utilisées pour mettre en évidence différents types de paquets réseau en fonction de critères spécifiques. Cela aide à identifier et à analyser rapidement les informations importantes dans le trafic réseau capturé. Vous apprendrez également à visualiser ces règles et à les exporter pour une utilisation ultérieure.

1. Tout d'abord, vous devez ouvrir Wireshark sur votre machine Linux. Pour ce faire, ouvrez le terminal et exécutez la commande suivante. Cette commande lancera l'application Wireshark, que vous utiliserez pour travailler avec les règles de coloration.

   wireshark

2. Une fois Wireshark ouvert, vous devrez accéder aux règles de coloration. Allez dans le menu View en haut de la fenêtre Wireshark, puis sélectionnez Coloring Rules.... Cela ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes les règles de coloration dans Wireshark.

   

3. Dans la boîte de dialogue Wireshark Coloring Rules Default, vous verrez une liste de règles de coloration existantes. Chaque règle possède une condition spécifique et une couleur correspondante. Ces règles sont appliquées aux paquets capturés dans l'ordre où elles apparaissent dans la liste. Prenez un moment pour parcourir les règles et lire leurs descriptions. Comprendre ces règles vous donnera une idée de la manière dont Wireshark peut vous aider à analyser le trafic réseau plus efficacement.

   

4. Vous souhaiterez peut-être désactiver ou activer temporairement une règle spécifique sans la supprimer. Vous pouvez le faire en sélectionnant la règle dans la liste et en cliquant sur la checkbox à côté. Si la case est cochée, la règle est activée ; si elle est décochée, la règle est désactivée. Ceci est utile lorsque vous souhaitez tester l'impact d'une règle particulière sur la coloration des paquets.

5. Maintenant, supposons que vous souhaitiez enregistrer l'ensemble actuel des règles de coloration pour une utilisation ultérieure ou pour le partager avec d'autres. Pour exporter ces règles, cliquez sur le bouton Export... dans la boîte de dialogue Wireshark Coloring Rules Default.

6. Après avoir cliqué sur le bouton Export..., une boîte de dialogue de fichier apparaîtra. Vous devez choisir un emplacement pour enregistrer le fichier des règles de coloration. Accédez au répertoire /home/labex/project. Il est recommandé de donner au fichier un nom descriptif, tel que colorizing_rules.txt, afin de pouvoir l'identifier facilement plus tard.

   

   

7. Une fois que vous avez sélectionné l'emplacement et nommé le fichier, cliquez sur OK pour fermer la boîte de dialogue Wireshark Coloring Rules Default. Vous avez maintenant exporté avec succès les règles de coloration.

Créer une nouvelle règle de coloration

Dans cette étape, nous apprendrons à créer une nouvelle règle de coloration dans Wireshark. Les règles de coloration sont une fonctionnalité puissante qui vous permet de mettre en évidence un trafic réseau spécifique, facilitant ainsi la détection et l'analyse des paquets importants. En créant une règle personnalisée, vous pouvez identifier rapidement les types de trafic réseau qui vous importent le plus.

1. Tout d'abord, ouvrez la boîte de dialogue Wireshark Coloring Rules Default. Dans Wireshark, allez dans View > Coloring Rules.... Cette boîte de dialogue est l'endroit où vous pouvez gérer toutes vos règles de coloration, y compris leur création, leur modification et leur suppression.

2. Pour créer une nouvelle règle de coloration, cliquez sur le bouton +. Cette action ajoute une entrée de règle vide à la liste des règles existantes.

   

3. Une fois que vous avez ajouté une nouvelle règle, une entrée appelée New coloring rule apparaîtra en haut de la boîte de dialogue Coloring Rules. Double-cliquez sur cette entrée pour modifier le nom de la règle. Par exemple, si vous souhaitez mettre en évidence le trafic HTTP, vous pouvez nommer la règle HTTP Traffic. Dans le champ Filter, vous devez saisir une expression de filtre. Cette expression indique à Wireshark quels paquets doivent être mis en évidence par cette règle. Pour le trafic HTTP, vous saisiriez http.

   

4. Parlons maintenant des options de coloration. Il y a deux boutons importants ici : les boutons foreground et background.

   Le bouton foreground est utilisé pour choisir la couleur qui sera utilisée pour mettre en évidence le texte des paquets qui correspondent à la règle. Par exemple, si vous voulez que le texte des paquets HTTP soit rouge, vous pouvez sélectionner le rouge à l'aide de ce bouton.

   

   Le bouton background vous permet de choisir la couleur d'arrière-plan des paquets mis en évidence. Vous pouvez l'utiliser pour faire ressortir davantage les paquets. Par exemple, vous pourriez définir la couleur d'arrière-plan sur jaune.

   

5. Optionnellement, vous pouvez ajuster la priorité de la règle. Les règles dans Wireshark sont appliquées en fonction de leur ordre dans la liste. Les règles de priorité supérieure prévalent sur les règles de priorité inférieure. Pour modifier la priorité, faites simplement glisser la règle vers le haut ou vers le bas dans la liste.

6. Après avoir configuré la règle, vous devez l'activer. Cliquez sur la checkbox à côté de la règle pour activer la règle de coloration nouvellement créée. Ensuite, cliquez sur OK pour enregistrer la nouvelle règle de coloration. Cela appliquera la règle à vos captures de paquets.

   

7. Lorsque vous ouvrez un fichier de capture ou démarrez une capture en direct dans Wireshark, vous devriez maintenant voir les paquets réseau qui correspondent à l'expression de filtre affichés avec les couleurs que vous avez sélectionnées pour la règle. Cela rend beaucoup plus facile l'identification et l'analyse du trafic spécifique qui vous intéresse.

PS : Si vous souhaitez générer du trafic HTTP pour tester votre règle, vous pouvez démarrer le navigateur. Cliquez sur Run Program... depuis le bouton Applications dans le coin inférieur gauche et tapez Firefox.

Modifier une règle de coloration existante

Dans cette étape, vous apprendrez à modifier une règle de coloration existante dans Wireshark. Les règles de coloration dans Wireshark sont utilisées pour mettre en évidence les paquets réseau en fonction de critères spécifiques, ce qui vous aide à identifier et à analyser rapidement différents types de trafic. En modifiant ces règles, vous pouvez personnaliser la façon dont les paquets sont affichés, ce qui facilite la concentration sur les informations dont vous avez besoin pour l'analyse en cybersécurité.

1. Tout d'abord, ouvrez Wireshark. Dans Wireshark, allez dans le menu View en haut de la fenêtre. Ensuite, sélectionnez Coloring Rules... dans le menu déroulant. Cette action ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes les règles de coloration dans Wireshark.

2. Dans la boîte de dialogue Wireshark Coloring Rules Default, vous verrez une liste de règles de coloration existantes. Chaque règle a un nom, une expression de filtre et une couleur qui lui est associée. Sélectionnez la règle de coloration que vous souhaitez modifier dans cette liste. Vous pouvez cliquer sur la règle pour la mettre en surbrillance.

3. Une fois que vous avez sélectionné la règle que vous souhaitez modifier, il existe deux manières principales d'apporter des modifications. Vous pouvez double-cliquer sur la règle. Une nouvelle fenêtre s'ouvrira alors, dans laquelle vous pourrez modifier le nom de la règle, l'expression de filtre qui détermine les paquets auxquels la règle s'applique, et la couleur utilisée pour mettre en évidence les paquets correspondants. De plus, vous pouvez modifier la priorité de la règle. La priorité détermine quelle règle prévaut si plusieurs règles correspondent à un seul paquet. Vous pouvez modifier la priorité en faisant glisser la règle vers le haut ou vers le bas dans la liste. Les règles situées plus haut dans la liste ont une priorité plus élevée.

4. Apportons maintenant quelques modifications spécifiques à la règle. Vous devez modifier le nom de la règle et l'expression de filtre selon vos besoins. Par exemple, changez le nom de la règle de HTTP Traffic à Web Traffic. Ce nouveau nom reflète plus précisément le type de trafic qui nous intéresse. Changez également l'expression de filtre de http à http and tcp.port == 80. Le filtre original http mettrait en évidence tout le trafic HTTP, mais en ajoutant tcp.port == 80, nous recherchons spécifiquement le trafic HTTP sur le port 80, qui est le port standard pour le trafic web non chiffré.

   Nom de la règle : HTTP Traffic -> Web Traffic
   Expression de filtre : http -> http and tcp.port == 80

   

5. Une fois que vous avez effectué toutes les modifications souhaitées sur la règle, cliquez sur le bouton OK dans la boîte de dialogue. Cela enregistrera la règle modifiée, et Wireshark commencera à utiliser les nouveaux paramètres pour mettre en évidence les paquets.

6. Pour voir les effets de la règle modifiée, vous pouvez soit ouvrir un fichier de capture existant dans Wireshark, soit démarrer une capture en direct. Une fois que les paquets sont affichés, vous devriez maintenant voir les paquets réseau qui correspondent à la règle modifiée affichés dans la couleur mise à jour ou selon la nouvelle expression de filtre. De cette façon, vous pouvez facilement repérer le trafic web spécifique sur le port 80 qui vous intéresse.

Importer des règles de coloration

Dans cette étape, nous apprendrons à importer des règles de coloration dans Wireshark. Les règles de coloration dans Wireshark sont une fonctionnalité puissante qui peut vous aider à identifier rapidement différents types de trafic réseau en leur attribuant des couleurs distinctes. Cela facilite l'analyse et la compréhension des données que vous capturez.

1. Tout d'abord, ouvrez Wireshark. Une fois ouvert, vous devez accéder aux paramètres des règles de coloration. Pour ce faire, allez dans le menu View en haut de la fenêtre Wireshark. Dans le menu déroulant, sélectionnez Coloring Rules.... Cela ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes vos règles de coloration dans Wireshark.

2. Maintenant que la boîte de dialogue Wireshark Coloring Rules Default est ouverte, vous verrez plusieurs boutons. Pour importer des règles de coloration, recherchez et cliquez sur le bouton Import.... Ce bouton vous permet d'importer des règles de coloration prédéfinies à partir d'un fichier externe.

   

3. Après avoir cliqué sur le bouton Import..., une nouvelle boîte de dialogue appelée Wireshark Import Coloring Rules apparaîtra. Dans cette boîte de dialogue, vous devez trouver le fichier qui contient les règles de coloration que vous souhaitez importer. Accédez au répertoire /home/labex/project. C'est l'emplacement où le fichier colorizing_rules.txt que vous avez exporté précédemment est stocké. Une fois dans le bon répertoire, sélectionnez le fichier colorizing_rules.txt.

   

4. Une fois que vous avez sélectionné le fichier colorizing_rules.txt, cliquez sur le bouton Open. Cela charge les règles de coloration dans la boîte de dialogue Wireshark Coloring Rules Default.

5. Avant de fermer la boîte de dialogue, cliquez sur le bouton OK en bas de la fenêtre principale Wireshark Coloring Rules Default. Cette confirmation finale enregistre les règles importées dans le fichier de configuration de Wireshark afin que la règle ARP importée reste disponible pour vérification.

6. Après avoir cliqué sur OK, rouvrez View > Coloring Rules... si vous souhaitez confirmer l'importation. Faites défiler jusqu'au bas de la liste, et vous devriez voir la règle de coloration nouvellement importée. Cela indique que l'importation a été enregistrée avec succès, et vous pouvez maintenant utiliser ces règles pour coder en couleur votre trafic réseau dans Wireshark.

Résumé

Dans ce laboratoire, vous avez appris à créer, modifier, importer et exporter des règles de coloration dans Wireshark. En utilisant ces règles, vous pouvez différencier visuellement divers types de trafic réseau selon des critères spécifiques, ce qui simplifie l'identification et l'analyse des activités réseau. Cette compétence est très utile dans les enquêtes en cybersécurité, le dépannage réseau et l'analyse de protocoles.

Grâce à des exercices pratiques, vous avez acquis une expérience concrète dans la gestion des jeux de règles. La maîtrise de ces techniques peut améliorer votre flux de travail d'analyse réseau et renforcer votre capacité à repérer et à hiérarchiser rapidement les modèles de trafic réseau intéressants.