Désactiver les protocoles dans Tshark

Introduction

Dans ce laboratoire, vous apprendrez à contrôler l'analyse de protocole dans l'outil en ligne de commande tshark de Wireshark en désactivant et en activant sélectivement les protocoles. Vous allez pratiquer la lecture de captures de paquets avec -r, exclure le trafic UDP en utilisant --disable-protocol udp et vérifier les résultats avec une sortie détaillée (-V).

Les exercices offrent une expérience pratique de filtrage de protocoles, de comparaison de sorties et de contrôle de l'affichage. Vous travaillerez avec un fichier d'exemple capture.pcap tout en apprenant les commandes essentielles de tshark dans un environnement de laboratoire structuré.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548922{{"Désactiver les protocoles dans Tshark"}} wireshark/protocol_dissection -.-> lab-548922{{"Désactiver les protocoles dans Tshark"}} wireshark/packet_analysis -.-> lab-548922{{"Désactiver les protocoles dans Tshark"}} wireshark/commandline_usage -.-> lab-548922{{"Désactiver les protocoles dans Tshark"}} end

Lire un fichier avec -r capture.pcap

Dans cette étape, vous apprendrez à lire un fichier de capture de paquets en utilisant l'outil en ligne de commande tshark de Wireshark avec l'option -r. Il s'agit de la première étape de l'analyse du trafic réseau à partir d'un fichier de capture pré-enregistré. Le drapeau -r indique à tshark de lire les paquets à partir d'un fichier plutôt que de capturer le trafic réseau en direct.

Tout d'abord, assurez-vous que vous êtes dans le répertoire de travail correct où le fichier de capture de paquets est stocké. Cela est important car tshark doit savoir où trouver le fichier :
```
cd ~/project
```
L'environnement de laboratoire fournit un fichier de capture de paquets d'exemple nommé capture.pcap. Vérifions son existence et examinons ses propriétés avant de poursuivre. La commande ls -l affiche des informations détaillées sur le fichier, notamment sa taille et ses autorisations :
```
ls -l capture.pcap
```
Vous devriez voir une sortie similaire à :
```
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap
```
Maintenant, nous allons lire le fichier de capture avec tshark. La commande de base affiche simplement un résumé de chaque paquet, y compris l'horodatage, les adresses source/destination et le protocole :
```
tshark -r capture.pcap
```
Pour une analyse plus approfondie, nous pouvons utiliser le drapeau -V pour afficher une sortie détaillée. Cela affiche tous les détails du protocole et le contenu des paquets dans un format hiérarchique, ce qui est utile lorsque vous devez examiner des champs de protocole spécifiques :
```
tshark -r capture.pcap -V
```
Lorsque vous travaillez avec de grands fichiers de capture, vous pouvez souhaiter limiter la sortie. L'option -c vous permet de spécifier combien de paquets afficher. Ici, nous affichons seulement les 5 premiers paquets :
```
tshark -r capture.pcap -c 5
```

Désactiver le UDP avec --disable-protocol udp

Dans cette étape, vous apprendrez à filtrer le trafic UDP (User Datagram Protocol) lors de l'analyse de captures de paquets en utilisant l'outil en ligne de commande tshark de Wireshark. Le UDP est un protocole de couche transport courant, mais parfois, vous pouvez souhaiter l'exclure pour vous concentrer sur l'analyse d'autres protocoles comme le TCP. L'option --disable-protocol vous permet d'ignorer complètement les paquets UDP lors de l'analyse.

Tout d'abord, assurez-vous que vous êtes toujours dans le répertoire de travail correct où se trouve votre fichier de capture de paquets. Cela garantit que toutes les commandes fonctionneront avec le bon fichier :
```
cd ~/project
```
Pour désactiver l'analyse du protocole UDP lors de la lecture du fichier de capture, utilisez l'option --disable-protocol suivie du nom du protocole. Cela indique à tshark de sauter le traitement de tout paquet utilisant le UDP :
```
tshark -r capture.pcap --disable-protocol udp
```
Comparons cette sortie filtrée avec la sortie non filtrée originale de l'étape 1. La commande head -n 10 affiche seulement les 10 premières lignes de la sortie pour faciliter la comparaison :
```
tshark -r capture.pcap --disable-protocol udp | head -n 10
```
Vous devriez remarquer que les paquets UDP sont maintenant absents de la sortie.
Pour vérifier correctement que les paquets UDP sont exclus, nous pouvons les compter avant et après avoir appliqué le filtre. La première commande compte tous les paquets UDP dans le fichier original, tandis que la deuxième devrait retourner 0 puisque nous avons désactivé le traitement du UDP :
```
## Compter tous les paquets UDP dans la capture originale
tshark -r capture.pcap -Y "udp" | wc -l

## Compter les paquets UDP après avoir désactivé le protocole (devrait être 0)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | wc -l
```
Vous pouvez combiner la désactivation de protocole avec d'autres filtres d'affichage. Cet exemple affiche seulement le trafic TCP tout en ignorant complètement tous les paquets UDP au niveau du traitement :
```
tshark -r capture.pcap --disable-protocol udp -Y "tcp"
```
N'oubliez pas que --disable-protocol fonctionne différemment des filtres d'affichage (-Y) - il empêche tshark de traiter le protocole, plutôt que de simplement le masquer de la vue.

Vérifier l'exclusion avec -V

Dans cette étape, nous allons vérifier que Tshark exclut correctement les paquets UDP de l'analyse. Le drapeau verbose (-V) nous permet de voir des informations détaillées sur les paquets, ce qui aide à confirmer si notre paramètre --disable-protocol udp fonctionne correctement. Cela est important car l'analyse de réseau nécessite souvent de se concentrer sur des protocoles spécifiques tout en ignorant les autres.

Tout d'abord, assurez-vous que vous êtes dans le répertoire de travail correct où se trouve votre fichier de capture de paquets :
```
cd ~/project
```
Exécutez maintenant tshark avec les drapeaux de désactivation de protocole et de mode verbeux. La commande head -n 30 affiche seulement les 30 premières lignes de la sortie, ce qui facilite la revue :
```
tshark -r capture.pcap --disable-protocol udp -V | head -n 30
```
Examinez attentivement la sortie. Vous devriez voir des informations détaillées sur le protocole pour les paquets, mais aucun contenu lié au UDP ne devrait apparaître.
Pour vérifier spécifiquement l'absence du protocole UDP, nous allons utiliser grep pour rechercher "UDP" dans la sortie. La commande wc -l compte le nombre de lignes correspondantes :
```
tshark -r capture.pcap --disable-protocol udp -V | grep -i "udp" | wc -l
```
Un compte de zéro confirme que Tshark ne traite aucun paquet UDP. Si vous voyez un nombre supérieur à zéro, l'exclusion ne fonctionne pas correctement.
Pour comparer, voyons à quoi ressemble une sortie verbeuse normale sans désactivation de protocole :
```
tshark -r capture.pcap -V | grep -i "udp" | head -n 5
```
Cette commande peut afficher des paquets UDP s'ils existent dans votre fichier de capture. La différence entre cette sortie et la sortie de la commande précédente montre l'effet de --disable-protocol udp.
Enfin, examinons en détail un seul paquet pour vérifier l'exclusion de protocole au niveau du paquet :
```
tshark -r capture.pcap --disable-protocol udp -V -c 1
```
L'option -c 1 limite la sortie à un seul paquet. Vérifiez les couches de protocole dans la sortie de ce paquet - vous ne devriez voir aucune mention de UDP dans la hiérarchie des protocoles.

Réactiver avec --enable-protocol udp

Dans cette étape, vous apprendrez à restaurer l'analyse du protocole UDP dans tshark après l'avoir désactivé. Cela est important lorsque vous avez besoin d'analyser tout le trafic réseau à nouveau, y compris les paquets UDP qui sont couramment utilisés pour le DNS, le streaming vidéo et d'autres applications en temps réel.

Tout d'abord, assurez-vous que vous êtes dans le répertoire de travail correct où se trouve votre fichier de capture de paquets :
```
cd ~/project
```
Cette commande vous amène dans le répertoire du projet où nous allons travailler avec notre fichier de capture de paquets (capture.pcap).
Pour réactiver l'analyse du protocole UDP, utilisez l'option --enable-protocol suivie du nom du protocole :
```
tshark -r capture.pcap --enable-protocol udp
```
Cela indique à tshark de traiter à nouveau les paquets UDP lors de la lecture du fichier de capture.
Vérifions que les paquets UDP sont maintenant traités en les comptant :
```
tshark -r capture.pcap --enable-protocol udp -Y "udp" | wc -l
```
Le filtre -Y "udp" affiche seulement les paquets UDP, et wc -l les compte. Vous devriez maintenant voir les paquets UDP s'ils existent dans votre capture.

Pour voir clairement la différence, comparez les sorties avec le UDP activé et désactivé :

## Avec le UDP activé (devrait afficher les paquets UDP)
tshark -r capture.pcap --enable-protocol udp -Y "udp" | head -n 5

## Avec le UDP désactivé (devrait afficher une sortie vide)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | head -n 5

La commande head -n 5 affiche seulement les 5 premières lignes de la sortie pour une comparaison rapide.

Pour une vérification approfondie, vérifiez que les détails du protocole UDP apparaissent dans la sortie verbeuse :
```
tshark -r capture.pcap --enable-protocol udp -V | grep -i "User Datagram Protocol" | head -n 3
```
L'option -V affiche des informations détaillées sur les paquets, et nous filtrons pour les en-têtes du protocole UDP pour confirmer qu'ils sont à nouveau traités.

Résumé

Dans ce laboratoire (lab), vous avez appris à utiliser tshark pour l'analyse de protocoles en travaillant avec un fichier de capture de paquets d'exemple. Vous avez pratiqué des commandes de base telles que -r pour la lecture de fichiers et -V pour une sortie détaillée, qui constituent les bases de l'analyse de paquets dans tshark.

Le laboratoire vous a également guidé à travers des techniques de filtrage de protocoles, en particulier la désactivation du trafic UDP en utilisant --disable-protocol udp. En comparant les sorties filtrées et non filtrées, vous avez observé comment isoler efficacement le trafic d'un protocole spécifique lors de l'analyse.