LabEx
Se connecterInscription gratuite

Exporter les paquets filtrés dans Tshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous apprendrez à filtrer et exporter des paquets réseau spécifiques à l'aide de l'outil en ligne de commande tshark de Wireshark. Vous allez pratiquer l'extraction de paquets UDP à partir d'un fichier d'enregistrement d'échantillon (capture.pcap) et les enregistrer dans un nouveau fichier (udp.pcap).

L'exercice couvre les opérations clés de tshark, notamment l'ouverture de fichiers d'enregistrement avec -r, l'application de filtres avec -Y et l'exportation des résultats à l'aide de -w. Vous vérifierez également les paquets exportés en utilisant une analyse détaillée avec le drapeau -V.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_capture -.-> lab-548924{{"Exporter les paquets filtrés dans Tshark"}} wireshark/display_filters -.-> lab-548924{{"Exporter les paquets filtrés dans Tshark"}} wireshark/export_packets -.-> lab-548924{{"Exporter les paquets filtrés dans Tshark"}} wireshark/packet_analysis -.-> lab-548924{{"Exporter les paquets filtrés dans Tshark"}} wireshark/commandline_usage -.-> lab-548924{{"Exporter les paquets filtrés dans Tshark"}} end

Ouvrir un fichier avec -r capture.pcap

Dans cette étape, vous apprendrez à ouvrir un fichier d'enregistrement de paquets à l'aide de l'outil en ligne de commande tshark de Wireshark. C'est la première étape de l'analyse du trafic réseau à partir d'un fichier d'enregistrement préalablement capturé. Tshark est la version en terminal de Wireshark, qui vous permet d'analyser les paquets réseau sans l'interface graphique.

L'option -r de tshark vous permet de lire les paquets à partir d'un fichier d'enregistrement sauvegardé précédemment. Le fichier que nous allons utiliser (capture.pcap) contient des données d'échantillon de trafic réseau pour l'analyse. Les fichiers PCAP stockent les données brutes des paquets réseau qui peuvent être examinées plus tard.

Suivez attentivement ces étapes :

  1. Tout d'abord, assurez-vous que vous êtes dans le répertoire correct où se trouve le fichier d'enregistrement. C'est important car tshark doit trouver le fichier :
cd ~/project
  1. Vérifiez que le fichier d'enregistrement existe et vérifiez sa taille. Cela confirme que vous travaillez avec le bon fichier :
ls -l capture.pcap

Vous devriez voir une sortie similaire à celle-ci, montrant les autorisations de fichier, la taille et la date de modification :

-rw-r--r-- 1 labex labex 123456 Jul 1 10:00 capture.pcap
  1. Maintenant, ouvrez le fichier d'enregistrement à l'aide de tshark. Cette commande de base lit le fichier et affiche un résumé de chaque paquet :
tshark -r capture.pcap

Cela affichera le résumé des paquets dans votre terminal. Chaque ligne représente un paquet réseau avec des informations clés :

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 443 → 54321 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 74 54321 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
  1. Pour voir des informations plus détaillées sur les paquets, y compris toutes les couches de protocole (comme les en-têtes Ethernet, IP, TCP), vous pouvez ajouter le drapeau -V pour une sortie détaillée :
tshark -r capture.pcap -V

Cela affichera les détails complets des paquets, ce qui est utile lorsque vous devez examiner des champs spécifiques dans les en-têtes de paquets.

Filtrer les paquets UDP avec -Y "udp"

Dans cette étape, vous apprendrez à filtrer les paquets UDP à partir d'une capture réseau en utilisant la syntaxe des filtres d'affichage de Wireshark avec l'option -Y dans tshark. UDP (User Datagram Protocol - Protocole de datagramme utilisateur) est un protocole de réseau de base qui offre un moyen simple d'envoyer des datagrammes sans établir de connexion. Ce filtrage est particulièrement utile lorsque vous devez vous concentrer uniquement sur le trafic UDP dans un fichier de capture plus volumineux qui peut contenir plusieurs protocoles.

L'option -Y dans tshark fonctionne de manière similaire au champ de filtre d'affichage de Wireshark. Elle vous permet de spécifier des critères de filtrage qui n'afficheront que les paquets correspondant à certaines conditions. Ici, nous allons filtrer spécifiquement les paquets utilisant le protocole UDP.

Suivez attentivement ces étapes :

  1. Tout d'abord, assurez-vous que vous êtes toujours dans le répertoire du projet où se trouve votre fichier de capture. C'est important car tshark a besoin du chemin correct pour accéder à votre fichier de capture :
cd ~/project
  1. Maintenant, appliquez le filtre UDP pour analyser uniquement les paquets UDP dans le fichier de capture. La structure de base de la commande est tshark -r [fichier] -Y [filtre] :
tshark -r capture.pcap -Y "udp"

Cette commande traitera le fichier capture.pcap et affichera uniquement les paquets UDP. La sortie affichera les paquets filtrés dans un format similaire à celui-ci :

5 0.002345 192.168.1.1 → 192.168.1.2 UDP 82 5353 → 5353 Len=40
8 0.004567 192.168.1.2 → 192.168.1.1 UDP 82 5353 → 5353 Len=40

Chaque ligne représente un paquet UDP, affichant son numéro dans la capture, l'horodatage, les adresses IP source et de destination, les ports et la longueur du paquet.

  1. Pour obtenir des informations plus détaillées sur chaque paquet UDP, vous pouvez ajouter le drapeau -V (mode verbeux). Cela affichera la décomposition complète du protocole pour chaque paquet :
tshark -r capture.pcap -Y "udp" -V

Cette sortie verbeuse affichera toutes les couches du paquet, y compris les en-têtes Ethernet, IP et UDP avec leurs champs et valeurs respectifs.

  1. Si vous avez simplement besoin de savoir combien de paquets UDP existent dans votre capture (sans voir leur contenu), vous pouvez rediriger la sortie vers la commande de comptage de mots :
tshark -r capture.pcap -Y "udp" | wc -l

Cela affichera un seul nombre représentant le nombre total de paquets UDP trouvés dans votre fichier de capture.

Exporter des paquets avec -w udp.pcap

Dans cette étape, vous apprendrez à exporter les paquets UDP filtrés dans un nouveau fichier de capture en utilisant l'option -w de Wireshark. Cela est particulièrement utile lorsque vous souhaitez isoler un trafic réseau spécifique pour une analyse approfondie ou pour le partager avec vos collègues.

L'option -w indique à Tshark d'écrire les paquets dans un fichier au format pcap, qui est le format standard pour les fichiers de capture de paquets. En combinant cette option avec le filtre -Y que nous avons utilisé précédemment, nous pouvons enregistrer sélectivement uniquement les paquets UDP de notre fichier de capture original.

Découvrons le processus étape par étape :

  1. Tout d'abord, assurez-vous que vous êtes dans le répertoire du projet où se trouve votre fichier de capture :
cd ~/project
  1. Maintenant, exportons tous les paquets UDP dans un nouveau fichier appelé udp.pcap :
tshark -r capture.pcap -Y "udp" -w udp.pcap

Cette commande effectue trois actions importantes :

  • -r capture.pcap spécifie le fichier d'entrée à lire
  • -Y "udp" applique notre filtre pour sélectionner uniquement les paquets UDP
  • -w udp.pcap indique à Tshark où enregistrer les paquets filtrés
  1. Après avoir exécuté la commande, vérifions que notre nouveau fichier a été créé :
ls -l udp.pcap

Vous devriez voir une sortie similaire à celle-ci, indiquant que le fichier existe et sa taille :

-rw-r--r-- 1 labex labex 12345 Jul 1 10:05 udp.pcap
  1. Pour vérifier combien de paquets UDP ont été réellement exportés dans notre nouveau fichier :
tshark -r udp.pcap | wc -l

Cette commande compte tous les paquets dans le nouveau fichier. Le nombre devrait correspondre au nombre de paquets UDP de votre capture originale.

  1. Enfin, confirmons que seuls les paquets UDP ont été exportés en vérifiant s'il y a des paquets non-UDP :
tshark -r udp.pcap -Y "not udp" | wc -l

Cela devrait retourner 0, ce qui signifie que notre filtre a fonctionné correctement et que seuls les paquets UDP ont été enregistrés dans udp.pcap.

Vérifier avec -r udp.pcap -V

Dans cette étape finale de vérification, nous examinerons le contenu du fichier de paquets UDP exporté (udp.pcap) en utilisant le mode de sortie détaillé de Wireshark. Le drapeau -V signifie "verbeux" et affiche des informations complètes sur le protocole pour chaque paquet, nous aidant à confirmer que nos opérations de filtrage et d'exportation précédentes ont fonctionné correctement.

Lorsque vous travaillez avec des captures de paquets, la vérification est cruciale car elle garantit que nous avons extrait exactement ce que nous avions prévu. Parcourons plusieurs méthodes de vérification :

  1. Tout d'abord, accédez au répertoire du projet où se trouve votre fichier de capture de paquets :
cd ~/project
  1. Affichez les premiers paquets UDP avec des informations détaillées sur le protocole. La commande head -20 limite la sortie aux 20 premières lignes pour plus de lisibilité :
tshark -r udp.pcap -V | head -20

La sortie affichera des détails sur les paquets comme dans cet exemple, où vous pouvez vérifier les informations sur le protocole UDP :

Frame 1: 82 bytes on wire (656 bits), 82 bytes captured (656 bits)
Ethernet II, Src: 00:11:22:33:44:55, Dst: 66:77:88:99:aa:bb
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
User Datagram Protocol, Src Port: 5353, Dst Port: 5353
  1. Pour confirmer que tous les paquets du fichier sont des paquets UDP, nous examinerons les champs de protocole. Cette commande extrait et compte les types de protocole uniques :
tshark -r udp.pcap -T fields -e frame.protocols | sort | uniq -c

Dans une capture correctement filtrée, vous devriez seulement voir les protocoles liés à UDP répertoriés.

  1. Pour une vérification approfondie, vérifions s'il y a des paquets non-UDP qui auraient pu être inclus par accident. Cette commande filtre le trafic non-UDP et devrait retourner des résultats vides :
tshark -r udp.pcap -Y "not udp" -V
  1. Enfin, comptez le nombre total de paquets UDP dans votre fichier exporté pour vérifier que la quantité correspond à vos attentes :
tshark -r udp.pcap | wc -l

Cela vous donne le nombre total de paquets dans le fichier de capture, qui devraient tous être des paquets UDP après notre processus de filtrage.

Résumé

Dans ce laboratoire, vous avez appris à utiliser l'outil en ligne de commande tshark de Wireshark pour analyser, filtrer et exporter des paquets réseau. Les exercices ont couvert l'ouverture de fichiers de capture avec -r, l'affichage d'informations détaillées sur les paquets à l'aide de -V, et l'application de filtres d'affichage avec -Y pour isoler un trafic spécifique comme le UDP.

Vous avez pratiqué l'exportation de paquets filtrés dans un nouveau fichier en utilisant -w et vérifié les résultats en relisant la sortie. Ces techniques fournissent des compétences essentielles pour une analyse efficace du trafic réseau et une extraction sélective de données dans des environnements en ligne de commande.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant