LabEx
Se connecterInscription gratuite

Créer et appliquer des règles de coloration dans Wireshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous apprendrez à créer et à appliquer des règles de coloration dans Wireshark, un puissant analyseur de protocoles réseau. Ces règles vous permettent de différencier visuellement différents types de trafic réseau selon des critères spécifiques, facilitant ainsi l'identification et l'analyse des activités réseau qui vous intéressent.

À la fin de ce laboratoire, vous comprendrez mieux comment exploiter les fonctionnalités de coloration de Wireshark. Cela améliorera vos compétences en analyse de réseau et vous aidera dans vos enquêtes en cybersécurité.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/colorizing_rules("Colorizing Rules") subgraph Lab Skills wireshark/colorizing_rules -.-> lab-415941{{"Créer et appliquer des règles de coloration dans Wireshark"}} end

Explorer et exporter les règles de coloration

Dans cette étape, nous allons commencer par explorer les règles de coloration existantes dans Wireshark. Les règles de coloration dans Wireshark sont utilisées pour mettre en évidence différents types de paquets réseau en fonction de critères spécifiques. Cela facilite l'identification et l'analyse rapide des informations importantes dans le trafic réseau capturé. Vous apprendrez également à afficher ces règles et à les exporter pour une utilisation ultérieure.

  1. Tout d'abord, vous devez ouvrir Wireshark sur votre machine Linux. Pour ce faire, ouvrez le terminal et exécutez la commande suivante. Cette commande lancera l'application Wireshark, que vous utiliserez pour travailler avec les règles de coloration.

    wireshark

  2. Une fois Wireshark ouvert, vous devrez accéder aux règles de coloration. Allez dans le menu View en haut de la fenêtre Wireshark, puis sélectionnez Coloring Rules.... Cela ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes les règles de coloration dans Wireshark.

    Coloring Rules

  3. Dans la boîte de dialogue Wireshark Coloring Rules Default, vous verrez une liste des règles de coloration existantes. Chaque règle a une condition spécifique et une couleur correspondante. Ces règles sont appliquées aux paquets capturés dans l'ordre où elles apparaissent dans la liste. Prenez un moment pour parcourir les règles et lire leurs descriptions. Comprendre ces règles vous donnera une idée de la façon dont Wireshark peut vous aider à analyser le trafic réseau plus efficacement.

    Coloring Rules Dialog

  4. Vous souhaiterez peut-être désactiver ou activer temporairement une règle spécifique sans la supprimer. Vous pouvez le faire en sélectionnant la règle dans la liste et en cliquant sur la case à cocher à côté d'elle. Si la case est cochée, la règle est activée ; si elle est décochée, la règle est désactivée. Cela est utile lorsque vous souhaitez tester l'impact d'une règle particulière sur la coloration des paquets.

  5. Maintenant, disons que vous souhaitez enregistrer l'ensemble actuel de règles de coloration pour une utilisation ultérieure ou pour les partager avec d'autres personnes. Pour exporter ces règles, cliquez sur le bouton Export... dans la boîte de dialogue Wireshark Coloring Rules Default.

  6. Après avoir cliqué sur le bouton Export..., une boîte de dialogue de fichier apparaîtra. Vous devez choisir un emplacement pour enregistrer le fichier de règles de coloration. Accédez au répertoire /home/labex/project. Il est recommandé de donner au fichier un nom descriptif, comme colorizing_rules.txt, afin de pouvoir l'identifier facilement plus tard.

    Coloring Rules
    Coloring Rules

  7. Une fois que vous avez sélectionné l'emplacement et nommé le fichier, cliquez sur OK pour fermer la boîte de dialogue Wireshark Coloring Rules Default. Vous avez maintenant exporté avec succès les règles de coloration.

Créer une nouvelle règle de coloration

Dans cette étape, nous allons apprendre à créer une nouvelle règle de coloration dans Wireshark. Les règles de coloration sont une fonctionnalité puissante qui vous permet de mettre en évidence un trafic réseau spécifique, facilitant ainsi la détection et l'analyse des paquets importants. En créant une règle personnalisée, vous pouvez rapidement identifier les types de trafic réseau qui vous intéressent le plus.

  1. Tout d'abord, ouvrez la boîte de dialogue Wireshark Coloring Rules Default. Dans Wireshark, allez dans View > Coloring Rules.... C'est dans cette boîte de dialogue que vous pouvez gérer toutes vos règles de coloration, y compris les créer, les modifier et les supprimer.

  2. Pour créer une nouvelle règle de coloration, cliquez sur le bouton +. Cette action ajoute une entrée de règle vide à la liste des règles existantes.

    Coloring Rules

  3. Une fois que vous avez ajouté une nouvelle règle, une nouvelle entrée appelée New coloring rule apparaîtra en haut de la boîte de dialogue des règles de coloration. Double - cliquez sur cette entrée pour modifier le nom de la règle. Par exemple, si vous souhaitez mettre en évidence le trafic HTTP, vous pouvez nommer la règle HTTP Traffic. Dans le champ Filter, vous devez entrer une expression de filtre. Cette expression indique à Wireshark quels paquets doivent être mis en évidence par cette règle. Pour le trafic HTTP, vous entrerez http.

    Coloring Rules

  4. Maintenant, parlons des options de coloration. Il y a deux boutons importants ici : les boutons foreground et background.

    Le bouton foreground est utilisé pour choisir la couleur qui sera utilisée pour mettre en évidence le texte des paquets qui correspondent à la règle. Par exemple, si vous souhaitez que le texte des paquets HTTP soit rouge, vous pouvez sélectionner le rouge en utilisant ce bouton.

    Coloring Rules

    Le bouton background vous permet de choisir la couleur de fond des paquets mis en évidence. Vous pouvez l'utiliser pour faire ressortir encore plus les paquets. Par exemple, vous pourriez définir la couleur de fond sur jaune.

    Coloring Rules

  5. Optionnellement, vous pouvez ajuster la priorité de la règle. Les règles dans Wireshark sont appliquées en fonction de leur ordre dans la liste. Les règles de priorité supérieure ont la priorité sur les règles de priorité inférieure. Pour changer la priorité, il suffit de glisser la règle vers le haut ou vers le bas dans la liste.

  6. Après avoir configuré la règle, vous devez l'activer. Cliquez sur la case à cocher à côté de la règle pour activer la nouvelle règle de coloration. Ensuite, cliquez sur OK pour enregistrer la nouvelle règle de coloration. Cela appliquera la règle à vos captures de paquets.

    Coloring Rules

  7. Lorsque vous ouvrez un fichier de capture ou démarrez une capture en direct dans Wireshark, vous devriez maintenant voir les paquets réseau qui correspondent à l'expression de filtre affichés avec les couleurs que vous avez sélectionnées pour la règle. Cela facilite beaucoup l'identification et l'analyse du trafic spécifique qui vous intéresse.

PS : Si vous souhaitez générer un peu de trafic HTTP pour tester votre règle, vous pouvez démarrer le navigateur. Cliquez sur Run Program... depuis le bouton Applications dans le coin inférieur gauche et tapez Firefox.

Coloring Rules

Modifier une règle de coloration existante

Dans cette étape, vous apprendrez à modifier une règle de coloration existante dans Wireshark. Les règles de coloration dans Wireshark sont utilisées pour mettre en évidence les paquets réseau en fonction de critères spécifiques, ce qui vous aide à identifier et à analyser rapidement différents types de trafic. En modifiant ces règles, vous pouvez personnaliser l'affichage des paquets, facilitant ainsi la concentration sur les informations nécessaires pour l'analyse en cybersécurité.

  1. Tout d'abord, ouvrez Wireshark. Dans Wireshark, accédez au menu View en haut de la fenêtre. Ensuite, sélectionnez Coloring Rules... dans le menu déroulant. Cette action ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes les règles de coloration dans Wireshark.

  2. Dans la boîte de dialogue Wireshark Coloring Rules Default, vous verrez une liste des règles de coloration existantes. Chaque règle a un nom, une expression de filtre et une couleur associée. Sélectionnez la règle de coloration que vous souhaitez modifier dans cette liste. Vous pouvez cliquer sur la règle pour la mettre en évidence.

  3. Une fois que vous avez sélectionné la règle que vous souhaitez modifier, il y a deux principales façons d'apporter des modifications. Vous pouvez double-cliquer sur la règle. Lorsque vous le faites, une nouvelle fenêtre s'ouvrira où vous pourrez modifier le nom de la règle, l'expression de filtre qui détermine quels paquets la règle s'applique à, et la couleur utilisée pour mettre en évidence les paquets correspondants. De plus, vous pouvez modifier la priorité de la règle. La priorité détermine quelle règle prend le pas si plusieurs règles correspondent à un même paquet. Vous pouvez modifier la priorité en glissant la règle vers le haut ou vers le bas dans la liste. Les règles plus haut dans la liste ont une priorité plus élevée.

  4. Maintenant, apportons quelques modifications spécifiques à la règle. Vous devez modifier le nom de la règle et l'expression de filtre selon les besoins. Par exemple, changez le nom de la règle de HTTP Traffic à Web Traffic. Ce nouveau nom reflète plus précisément le type de trafic qui nous intéresse. De plus, changez l'expression de filtre de http à http and tcp.port == 80. Le filtre original http mettrait en évidence tout le trafic HTTP, mais en ajoutant tcp.port == 80, nous recherchons spécifiquement le trafic HTTP sur le port 80, qui est le port standard pour le trafic web non chiffré.

    Nom de la règle : HTTP Traffic -> Web Traffic
    Expression de filtre : http -> http and tcp.port == 80

    Coloring Rules

  5. Après avoir apporté toutes les modifications souhaitées à la règle, cliquez sur le bouton OK dans la boîte de dialogue. Cela enregistrera la règle modifiée, et Wireshark commencera à utiliser les nouvelles paramètres pour mettre en évidence les paquets.

  6. Pour voir les effets de la règle modifiée, vous pouvez soit ouvrir un fichier de capture existant dans Wireshark, soit démarrer une capture en direct. Une fois que les paquets sont affichés, vous devriez maintenant voir les paquets réseau qui correspondent à la règle modifiée affichés dans la nouvelle couleur ou selon la nouvelle expression de filtre. De cette façon, vous pouvez facilement repérer le trafic web spécifique sur le port 80 qui vous intéresse.

Importation de règles de coloration

Dans cette étape, nous allons apprendre à importer des règles de coloration dans Wireshark. Les règles de coloration dans Wireshark sont une fonctionnalité puissante qui peut vous aider à identifier rapidement différents types de trafic réseau en leur assignant des couleurs distinctes. Cela facilite l'analyse et la compréhension des données que vous capturez.

  1. Tout d'abord, ouvrez Wireshark. Une fois qu'il est ouvert, vous devez accéder aux paramètres des règles de coloration. Pour ce faire, allez dans le menu View en haut de la fenêtre de Wireshark. Dans le menu déroulant, sélectionnez Coloring Rules.... Cela ouvrira la boîte de dialogue Wireshark Coloring Rules Default. C'est dans cette boîte de dialogue que vous pouvez gérer toutes vos règles de coloration dans Wireshark.

  2. Maintenant que la boîte de dialogue Wireshark Coloring Rules Default est ouverte, vous verrez plusieurs boutons. Pour importer des règles de coloration, recherchez et cliquez sur le bouton Import.... Ce bouton vous permet d'importer des règles de coloration prédéfinies à partir d'un fichier externe.

    Coloring Rules

  3. Après avoir cliqué sur le bouton Import..., une nouvelle boîte de dialogue appelée Wireshark Import Coloring Rules apparaîtra. Dans cette boîte de dialogue, vous devez trouver le fichier qui contient les règles de coloration que vous souhaitez importer. Naviguez jusqu'au répertoire /home/labex/project. C'est l'emplacement où le fichier colorizing_rules.txt que vous avez exporté précédemment est stocké. Une fois que vous êtes dans le bon répertoire, sélectionnez le fichier colorizing_rules.txt.

    Coloring Rules

  4. Une fois que vous avez sélectionné le fichier colorizing_rules.txt, cliquez sur le bouton Open. Cette action importera les règles de coloration du fichier dans Wireshark.

  5. Une fois l'importation terminée, faites défiler la molette de la souris vers le bas dans la boîte de dialogue des règles de coloration. Vous devriez maintenant voir la nouvelle règle de coloration importée en bas de la liste. Cela indique que l'importation a réussi, et vous pouvez maintenant utiliser ces règles pour colorer votre trafic réseau dans Wireshark.

Résumé

Dans ce laboratoire, vous avez appris à créer, modifier, importer et exporter des règles de coloration dans Wireshark. En utilisant ces règles, vous pouvez différencier visuellement différents types de trafic réseau selon des critères spécifiques, ce qui simplifie l'identification et l'analyse des activités réseau. Cette compétence est très utile dans les enquêtes en cybersécurité, la résolution de problèmes réseau et l'analyse de protocoles.

Grâce à des exercices pratiques, vous avez acquis une expérience pratique dans la gestion de l'ensemble de règles. Maîtriser ces techniques peut améliorer votre flux de travail d'analyse réseau et renforcer votre capacité à repérer rapidement et à prioriser les modèles de trafic réseau intéressants.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant