LabEx
Se connecterInscription gratuite

Exporter des paquets depuis Wireshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire (lab), vous apprendrez à exporter des paquets depuis Wireshark, un puissant analyseur de protocoles réseau. L'exportation de paquets est essentielle pour l'analyse réseau, la résolution de problèmes et les enquêtes de sécurité. Elle vous permet également de partager les données capturées avec vos collègues.

Tout au long de ce laboratoire, vous allez capturer le trafic réseau, appliquer des filtres pour cibler des types de communication spécifiques et exporter les données capturées dans différents formats pour une analyse plus approfondie.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/installation -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} wireshark/interface -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} wireshark/packet_capture -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} wireshark/display_filters -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} wireshark/export_packets -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} wireshark/packet_analysis -.-> lab-415945{{"Exporter des paquets depuis Wireshark"}} end

Comprendre et installer Wireshark

Wireshark est l'un des analyseurs de protocoles réseau les plus utilisés dans le monde. Dans les réseaux informatiques, la communication se fait grâce à de petites unités appelées paquets. Imaginez les paquets comme de petites enveloppes qui transportent des données à travers le réseau. Wireshark vous permet de capturer ces paquets et de les analyser, vous permettant ainsi de voir en détail ce qui se passe dans votre réseau. C'est comme avoir un microscope pour votre réseau, vous aidant à comprendre comment les données circulent et s'il y a des problèmes.

Lancer Wireshark

Tout d'abord, nous devons ouvrir Wireshark. Pour ce faire, nous allons commencer par ouvrir une fenêtre de terminal. Le terminal est une interface basée sur le texte où vous pouvez entrer des commandes pour interagir avec votre ordinateur. Vous pouvez ouvrir une fenêtre de terminal de deux manières :

  1. Appuyez sur Ctrl+Alt+T sur votre clavier. C'est un raccourci qui ouvre rapidement le terminal.
  2. Alternativement, vous pouvez cliquer sur l'icône du terminal dans la barre des tâches. La barre des tâches se trouve généralement en bas ou sur le côté de votre écran et contient des icônes pour diverses applications.

Une fois le terminal ouvert, nous allons utiliser une commande pour lancer Wireshark. Dans le terminal, tapez la commande suivante puis appuyez sur Entrée :

wireshark

Lorsque vous exécutez cette commande, l'application Wireshark s'ouvrira. Vous verrez une liste des interfaces réseau disponibles. Les interfaces réseau sont les connexions que votre ordinateur utilise pour communiquer avec d'autres appareils sur le réseau, comme le Wi - Fi ou l'Ethernet.

Interface principale de Wireshark

Après l'ouverture de Wireshark, prenez un moment pour explorer l'interface. Comprendre la disposition facilitera votre utilisation de l'outil par la suite.

  • La section supérieure affiche les interfaces réseau disponibles. C'est là que vous choisirez la connexion réseau à partir de laquelle vous voulez que Wireshark capture les paquets.
  • La section du milieu affiche les fichiers récemment ouverts. Si vous avez déjà utilisé Wireshark et ouvert des fichiers de capture de paquets, ils seront listés ici pour un accès rapide.
  • La section inférieure contient des liens et des fonctionnalités utiles. Ils peuvent vous aider pour diverses tâches, comme obtenir de l'aide ou accéder à des outils supplémentaires.

Comprendre l'interface de Wireshark

Avant de commencer à capturer des paquets, il est essentiel de savoir ce que chaque partie de l'interface de Wireshark fait. Cette connaissance vous aidera à naviguer efficacement dans l'outil et à trouver les informations dont vous avez besoin.

  • Barre de menus : Tout comme dans d'autres applications, la barre de menus contient les menus d'application classiques tels que Fichier, Édition, Affichage, etc. Vous pouvez utiliser ces menus pour effectuer des actions courantes comme ouvrir un nouveau fichier, enregistrer une capture ou modifier les paramètres d'affichage.
  • Barre d'outils principale : La barre d'outils principale contient des raccourcis vers les fonctions courantes. Ces raccourcis permettent d'effectuer plus rapidement les tâches que vous utiliserez souvent, comme démarrer ou arrêter une capture de paquets.
  • Barre de filtre : La barre de filtre est très utile. Elle vous permet d'appliquer des filtres d'affichage aux paquets capturés. Cela signifie que vous pouvez réduire le nombre de paquets que vous voyez en fonction de certains critères, comme l'adresse IP source ou de destination.
  • Volet de liste des paquets : Ce volet affiche chaque paquet capturé sur une ligne distincte. Il vous donne un aperçu rapide de tous les paquets qui ont été capturés.
  • Volet de détails des paquets : Lorsque vous sélectionnez un paquet dans le volet de liste des paquets, le volet de détails des paquets affiche des informations détaillées sur ce paquet. Cela inclut des éléments tels que le protocole utilisé, les adresses source et de destination et d'autres données pertinentes.
  • Volet des octets des paquets : Ce volet affiche les octets bruts du paquet sélectionné. C'est utile si vous voulez voir les données réelles qui sont transmises dans le paquet.

Maintenant que vous comprenez les bases de l'interface de Wireshark, vous êtes prêt à commencer à capturer du trafic réseau.

Capturer le trafic réseau

Dans cette étape, vous apprendrez à capturer des paquets réseau, qui est la fonction fondamentale de Wireshark. La capture de paquets est comme un outil de détective qui vous permet de voir toute la communication réseau se produisant sur votre système. C'est essentiel car cela vous donne une vue claire des données qui entrent et sortent de votre appareil, ce qui peut être crucial pour diverses raisons telles que la résolution de problèmes réseau ou l'analyse de menaces de sécurité potentielles.

Démarrer une capture de paquets

  1. Dans l'interface principale de Wireshark, vous remarquerez une liste d'interfaces réseau disponibles. Ces interfaces sont comme différentes portes par lesquelles votre appareil peut se connecter au réseau. Chaque interface représente une manière différente pour votre appareil d'envoyer et de recevoir des données, comme le Wi-Fi, l'Ethernet ou une connexion réseau virtuelle. Recherchez cette liste pour sélectionner l'interface appropriée pour capturer les paquets.

  2. Sélectionnez l'interface eth1 en cliquant dessus. Il s'agit de votre principale connexion Ethernet. L'Ethernet est un moyen courant de connecter des appareils à un réseau local à l'aide d'un câble physique. En sélectionnant eth1, vous choisissez de capturer le trafic réseau qui passe par cette connexion Ethernet spécifique.

    Sélection d'une interface réseau

  3. Cliquez sur l'icône de la nageoire de requin bleue dans la barre d'outils pour commencer à capturer des paquets. Cette icône est le bouton de démarrage de la capture de paquets dans Wireshark. Alternativement, vous pouvez double-cliquer sur l'interface eth1. Une fois que vous avez démarré la capture, Wireshark commencera à collecter tous les paquets réseau passant par l'interface sélectionnée.

  4. Vous devriez maintenant voir les paquets être capturés et affichés en temps réel. Chaque ligne représente un seul paquet. Les détails du paquet incluent :

    • Numéro de paquet : Il s'agit d'un identifiant unique pour chaque paquet, qui vous aide à suivre l'ordre dans lequel les paquets sont capturés.
    • Temps écoulé depuis le début de la capture : Il indique combien de temps s'est écoulé depuis le début de la capture de paquets lorsque ce paquet particulier a été capturé.
    • Adresse source : Il s'agit de l'adresse de l'appareil qui a envoyé le paquet. Cela vous aide à identifier d'où proviennent les données.
    • Adresse de destination : Il s'agit de l'adresse de l'appareil pour lequel le paquet est destiné. Cela montre où les données vont.
    • Protocole : Le protocole indique les règles et les normes utilisées pour la communication. Par exemple, TCP, UDP ou HTTP sont des protocoles courants.
    • Longueur du paquet : Il vous indique combien de données sont contenues dans le paquet.
    • Informations sur le paquet : Cela fournit des informations plus détaillées sur le contenu et le but du paquet.

Générer du trafic réseau

Pour voir un trafic plus intéressant, générons un peu de trafic HTTP en visitant un site web. HTTP (Hypertext Transfer Protocol) est le protocole utilisé pour transférer des pages web sur Internet. En générant du trafic HTTP, vous pourrez voir l'échange de données réel qui se produit lorsque vous visitez un site web.

  1. Tout en laissant Wireshark en cours d'exécution, ouvrez un nouveau terminal en appuyant sur Ctrl+Alt+T. Le terminal est une interface en ligne de commande où vous pouvez entrer des commandes pour interagir avec votre système.

  2. Utilisez la commande curl pour demander une page web :

    curl www.google.com

    La commande curl est un outil utilisé pour transférer des données depuis ou vers un serveur. Dans ce cas, vous l'utilisez pour demander la page web de Google. Vous devriez voir le contenu HTML de la page d'accueil de Google dans la sortie du terminal. Cela montre que la demande a réussi et que vous avez reçu les données du serveur Google.

  3. Revenez à Wireshark et observez les nouveaux paquets qui ont été capturés. Vous devriez voir des paquets DNS, TCP et HTTP liés à votre demande à Google. DNS (Domain Name System) est utilisé pour traduire des noms de domaine comme www.google.com en adresses IP. TCP (Transmission Control Protocol) est responsable de l'établissement d'une connexion fiable entre votre appareil et le serveur. HTTP est utilisé pour transférer les données réelles de la page web.

Arrêter la capture et enregistrer les données

  1. Pour arrêter la capture de paquets, cliquez sur le bouton d'arrêt carré rouge dans la barre d'outils. Cela mettra fin au processus de collecte de nouveaux paquets.

  2. Maintenant que vous avez capturé quelques paquets, enregistrez-les dans un fichier :

    • Cliquez sur File dans la barre de menus. La barre de menus contient diverses options pour gérer votre session Wireshark, telles que l'ouverture, l'enregistrement et l'exportation de fichiers.
    • Sélectionnez Save As. Cette option vous permet de choisir l'emplacement et le nom du fichier où vous voulez enregistrer les paquets capturés.
    • Accédez au répertoire /home/labex/project. C'est l'emplacement où vous stockerez les données de paquets capturées.
    • Entrez capture.pcapng comme nom de fichier. L'extension .pcapng indique que le fichier est au format PCAPNG, qui est un format standard pour stocker des données de paquets réseau.
    • Cliquez sur Save.
    Enregistrement des paquets capturés

  3. Le fichier est maintenant enregistré. Le format PCAPNG conserve toutes les données de capture et est le format par défaut de Wireshark. Cela signifie que tous les détails sur les paquets capturés, tels que les adresses source et de destination, les protocoles et le contenu des paquets, sont stockés dans le fichier.

Vous avez capturé avec succès le trafic réseau et l'avez enregistré dans un fichier. Dans l'étape suivante, vous apprendrez à filtrer ces paquets pour vous concentrer sur des types de trafic spécifiques.

Filtrer les paquets

Dans les scénarios de réseau du monde réel, lorsque vous capturez le trafic réseau, les fichiers de capture peuvent être extrêmement volumineux, contenant des milliers voire des millions de paquets. Analyser tous ces paquets d'un coup peut être écrasant et inefficace. C'est là que le filtrage entre en jeu. Le filtrage est une technique cruciale qui vous permet de vous concentrer sur des types de trafic spécifiques. En réduisant le nombre de paquets que vous examinez, vous pouvez rendre le processus d'analyse beaucoup plus gérable et trouver plus rapidement les informations dont vous avez besoin.

Comprendre les filtres d'affichage

Wireshark est équipé d'un langage de filtrage puissant. Ce langage vous permet d'afficher uniquement les paquets qui répondent à vos critères spécifiques. Voici quelques façons courantes d'utiliser les filtres d'affichage :

  • Filtrer par protocole : Vous pouvez afficher les paquets d'un protocole spécifique, comme HTTP, DNS ou TCP. Cela est utile lorsque vous êtes intéressé par un type particulier de communication réseau. Par exemple, si vous étudiez le trafic web, vous pourriez vouloir vous concentrer sur les paquets HTTP.
  • Filtrer par adresse IP : Vous pouvez afficher les paquets envoyés depuis ou reçus par des adresses IP spécifiques. Cela vous aide à suivre la communication entre des appareils particuliers sur le réseau.
  • Filtrer par contenu : Vous pouvez afficher les paquets qui contiennent un contenu spécifique. Cela est pratique lorsque vous recherchez certains mots - clés ou données dans les paquets.
  • Combiner des conditions : Vous pouvez utiliser des opérateurs logiques pour combiner plusieurs conditions. Cela vous permet de créer des filtres plus complexes et précis.

Appliquer des filtres de base

  1. Tout d'abord, ouvrez votre fichier de capture dans Wireshark. Une fois le fichier ouvert, regardez en haut de la fenêtre Wireshark. Vous verrez un champ de texte avec un fond bleu. C'est la boîte de filtre. C'est là que vous entrerez vos critères de filtre.

    Boîte de filtre de Wireshark

  2. Supposons que vous vouliez filtrer le trafic HTTP. HTTP est le protocole utilisé pour la communication web. Pour ce faire, tapez simplement ce qui suit dans la boîte de filtre :

    http

  3. Après avoir tapé le filtre, vous avez deux options pour l'appliquer. Vous pouvez soit appuyer sur la touche Entrée de votre clavier, soit cliquer sur le bouton de flèche droite à côté de la boîte de filtre. Une fois que vous avez fait cela, Wireshark commencera à appliquer le filtre à la liste des paquets.

  4. Après avoir appliqué le filtre, vous devriez maintenant voir uniquement les paquets HTTP dans la liste des paquets. Cependant, si vous ne voyez aucun paquet, il est possible que votre fichier de capture ne contienne aucun trafic HTTP. Dans ce cas, vous pouvez essayer d'utiliser le filtre tcp à la place. TCP est un protocole fondamental de la couche de transport, et en utilisant ce filtre, vous verrez tous les paquets TCP dans le fichier de capture.

  5. Si vous voulez effacer le filtre et voir tous les paquets à nouveau, il y a deux façons de le faire. Vous pouvez cliquer sur le bouton "X" à droite de la boîte de filtre, ou vous pouvez supprimer le texte du filtre dans la boîte puis appuyer sur la touche Entrée.

Utiliser des filtres avancés

Explorons des filtres plus spécifiques pour affiner encore votre analyse de paquets.

  1. Supposons que vous soyez intéressé uniquement par les requêtes HTTP GET. Une requête GET est un type courant de requête HTTP utilisé pour récupérer des données depuis un serveur. Pour afficher uniquement ces requêtes, entrez le filtre suivant dans la boîte de filtre :

    http.request.method == "GET"

  2. Appuyez sur la touche Entrée pour appliquer le filtre. Wireshark recherchera alors dans la liste des paquets et affichera uniquement les requêtes HTTP GET.

    Filtre pour les requêtes HTTP GET

  3. Après avoir appliqué le filtre, si vous ne voyez aucun paquet, cela signifie que votre fichier de capture ne contient peut - être aucune requête HTTP GET.

  4. Maintenant, essayons un autre filtre. Si vous voulez voir tous les paquets TCP destinés au port 80 (qui est le port standard pour HTTP), entrez le filtre suivant dans la boîte de filtre :

    tcp.dstport == 80

  5. Appuyez sur la touche Entrée pour appliquer ce filtre.

  6. Après avoir appliqué le filtre, vous devriez maintenant voir tous les paquets TCP envoyés au port 80 dans la liste des paquets.

Combiner des filtres

Vous pouvez rendre vos filtres encore plus puissants en combinant plusieurs filtres à l'aide d'opérateurs logiques.

  1. Supposons que vous vouliez voir les paquets qui sont soit HTTP, soit DNS. DNS est le protocole utilisé pour traduire les noms de domaine en adresses IP. Pour créer un filtre pour cela, entrez ce qui suit dans la boîte de filtre :

    http or dns

  2. Appuyez sur la touche Entrée pour appliquer le filtre.

  3. Après avoir appliqué le filtre, vous devriez maintenant voir à la fois les paquets HTTP et DNS dans la liste des paquets.

Le filtrage est une fonction puissante de Wireshark qui vous permet de vous concentrer sur les paquets les plus pertinents pour votre analyse. Au fur et à mesure que vous acquérez plus d'expérience avec Wireshark, vous pourrez créer des filtres plus sophistiqués adaptés à vos besoins spécifiques.

Exporter des paquets

Après avoir capturé et filtré des paquets, il est courant de devoir les exporter. L'exportation de paquets permet d'effectuer une analyse plus approfondie, de créer des documents ou de partager les données avec d'autres personnes. Wireshark propose plusieurs formats d'exportation, et chaque format est conçu pour différents cas d'utilisation.

Comprendre les formats d'exportation

Wireshark prend en charge plusieurs formats d'exportation. Voici une brève explication de chacun d'eux :

  • PCAP/PCAPNG : C'est le format natif des fichiers de capture de paquets. Il conserve toutes les données telles qu'elles ont été capturées, ce qui le rend idéal pour stocker et réutiliser les données de paquets.
  • CSV (Comma - Separated Values, valeurs séparées par des virgules) : Ce format est excellent pour importer les données de paquets dans des tableurs ou des bases de données. Il organise les données sous forme tabulaire, ce qui facilite l'analyse à l'aide d'outils d'analyse de données courants.
  • TXT (Texte brut) : Un format lisible par l'homme. Il est utile pour créer des documents car il présente les informations sur les paquets sous une forme de texte simple que tout le monde peut comprendre.
  • XML : Un format structuré. Il peut être facilement traité par des scripts ou d'autres outils, ce qui le rend adapté pour une analyse automatisée.
  • PSML/PDML : Ce sont des formats spécifiques à Wireshark. PSML est utilisé pour les résumés de paquets, tandis que PDML fournit des informations détaillées sur les paquets.

Exporter des paquets spécifiques

Commençons par exporter quelques paquets de votre capture.

  1. Tout d'abord, vous devez effacer tous les filtres que vous avez appliqués. Pour ce faire, cliquez sur le bouton "X" dans la boîte de filtre. Lorsque vous effacez les filtres, tous les paquets capturés seront affichés. Cette étape est importante car elle vous donne une vue complète de tous les paquets que vous avez capturés, vous permettant de sélectionner ceux que vous souhaitez exporter.

    Vue initiale des données dans Wireshark

  2. Ensuite, sélectionnez les paquets que vous souhaitez exporter. Vous pouvez le faire en cliquant sur le premier paquet. Ensuite, maintenez la touche Maj enfoncée et cliquez sur un autre paquet. Cela sélectionnera tous les paquets situés entre les deux. Si vous souhaitez sélectionner tous les paquets, appuyez simplement sur Ctrl+A.

  3. Une fois que vous avez sélectionné les paquets, cliquez sur File dans la barre de menus. Ensuite, sélectionnez Export Specified Packets.... Cette option vous permet de sauvegarder les paquets sélectionnés dans un format spécifique.

  4. Dans la boîte de dialogue d'exportation qui apparaît :

    • Accédez au répertoire /home/labex/project. C'est là que vous sauvegarderez le fichier exporté.
    • Vérifiez la liste déroulante "Save as type". Si Wireshark/tcpdump/... - pcap n'est pas déjà sélectionné, sélectionnez - le. Le format PCAP est un format largement utilisé pour les données de paquets.
    • Entrez exported.pcap comme nom de fichier. Cela nommera votre fichier exporté.
    • Si vous n'avez pas sélectionné tous les paquets, assurez - vous que "Selected packets only" est sélectionné. Cela garantit que seuls les paquets que vous avez choisis sont exportés.
    • Enfin, cliquez sur Save.
    Boîte de dialogue d'exportation de paquets

  5. Vous avez maintenant exporté avec succès les paquets sélectionnés dans un fichier PCAP. Ce fichier peut être ouvert dans tout outil qui prend en charge le format PCAP, pas seulement Wireshark. Cela vous donne la flexibilité d'utiliser différents outils pour une analyse plus approfondie.

Exporter au format CSV

Maintenant, exportons les mêmes données au format CSV. Le format CSV est très utile pour l'analyse dans les applications de tableur.

  1. Assurez - vous que vos paquets sont toujours sélectionnés. Sinon, appuyez sur Ctrl+A pour sélectionner à nouveau tous les paquets. Ensuite, cliquez sur File dans la barre de menus et sélectionnez Export Packet Dissections.... Cette option vous permet d'exporter les données de paquets dans différents formats.

  2. Cliquez sur le bouton As CSV.... Cela définira le format d'exportation sur CSV.

  3. Dans la boîte de dialogue d'exportation :

    • Accédez au répertoire /home/labex/project pour sauvegarder le fichier.
    • Entrez exported.csv comme nom de fichier.
    • Cliquez sur Save.
    Exportation de paquets au format CSV

  4. Vous avez maintenant exporté les données de paquets dans un fichier CSV. Pour afficher le contenu de ce fichier, vous pouvez utiliser la commande suivante dans un terminal :

    head -n 10 /home/labex/project/exported.csv

    Cette commande affichera les 10 premières lignes du fichier CSV. Elle vous montre les en - têtes de colonne et certaines données de paquets, vous donnant un aperçu rapide de ce qui se trouve dans le fichier.

Exporter les octets bruts d'un paquet

Parfois, vous devrez peut - être exporter les octets bruts réels d'un paquet. Voici comment vous pouvez le faire :

  1. Sélectionnez un seul paquet dans la liste des paquets. Il s'agit du paquet dont vous souhaitez exporter les octets bruts.

  2. Cliquez avec le bouton droit sur le paquet et sélectionnez Export Packet Bytes.... Cette option vous permet de sauvegarder les données brutes du paquet.

  3. Dans la boîte de dialogue d'exportation :

    • Accédez au répertoire /home/labex/project.
    • Entrez packet_bytes.bin comme nom de fichier.
    • Cliquez sur Save.

  4. Vous avez maintenant exporté les octets bruts du paquet sélectionné. Cela peut être très utile pour une analyse détaillée ou pour extraire des fichiers intégrés dans les paquets.

Ces options d'exportation vous offrent une grande flexibilité dans la façon dont vous analysez et partagez vos données de capture de paquets. Le format que vous choisissez dépend de vos besoins spécifiques et des outils que vous prévoyez d'utiliser pour une analyse plus approfondie.

Résumé

Dans ce laboratoire, vous avez appris à utiliser Wireshark, un puissant analyseur de protocoles réseau, pour capturer, filtrer et exporter des paquets réseau. Tout d'abord, vous vous êtes familiarisé avec l'interface de Wireshark et avez capturé le trafic réseau en direct. Ensuite, vous avez appris à appliquer des filtres pour cibler des types de trafic spécifiques, comme les requêtes HTTP ou les communications TCP. Enfin, vous avez exploré différentes méthodes pour exporter des paquets au format PCAP et CSV, par exemple, pour une analyse plus approfondie ou pour les partager.

Ces compétences sont essentielles pour les administrateurs de réseau, les analystes en sécurité et les professionnels de l'informatique. Elles permettent de résoudre efficacement les problèmes réseau, d'enquêter sur les incidents de sécurité et de comprendre le comportement du réseau. Maîtriser les capacités d'exportation de paquets de Wireshark fournit un outil précieux pour la cybersécurité et l'analyse réseau, en jetant les bases pour des techniques plus avancées applicables dans les rôles réels d'informatique et de sécurité.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant