LabEx
Se connecterInscription gratuite

Générer des statistiques de protocole dans Tshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous apprendrez à analyser le trafic réseau à l'aide de l'outil en ligne de commande tshark de Wireshark en générant des statistiques de protocole à partir d'un fichier de capture de paquets. Vous explorerez des options clés telles que -r pour lire des fichiers, -q pour le mode silencieux et -z io,phs pour les statistiques de hiérarchie de protocole.

L'exercice vous guidera tout au long de la vérification des fichiers de capture, de la visualisation des résumés de paquets et de l'interprétation des distributions de protocoles. Cette expérience pratique améliorera vos compétences en analyse de réseau grâce aux fonctionnalités statistiques de tshark.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_capture -.-> lab-548930{{"Générer des statistiques de protocole dans Tshark"}} wireshark/packet_analysis -.-> lab-548930{{"Générer des statistiques de protocole dans Tshark"}} wireshark/commandline_usage -.-> lab-548930{{"Générer des statistiques de protocole dans Tshark"}} end

Lire un fichier avec -r capture.pcap

Dans cette étape, vous apprendrez à ouvrir et à analyser un fichier de capture de paquets à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -r est essentielle car elle spécifie le fichier de capture de paquets à lire. Imaginez cela comme l'ouverture d'un document avec un éditeur de texte - vous devez indiquer au programme quel fichier utiliser.

  1. Tout d'abord, assurez-vous d'être dans le bon répertoire. Ouvrez le terminal et exécutez :

    cd ~/project

    Cette commande vous amène dans le répertoire du projet où se trouve notre fichier de capture d'exemple. C'est comme ouvrir le bon dossier avant d'accéder à un fichier.

  2. L'environnement de laboratoire fournit un fichier de capture d'exemple nommé capture.pcap. Vérifiez son existence :

    ls -l capture.pcap

    La sortie attendue devrait montrer les détails du fichier comme :

    -rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap

    La commande ls -l affiche les autorisations, la taille et la date de modification du fichier. Cela confirme que le fichier est présent et accessible avant de tenter de l'analyser.

  3. Pour lire le fichier de capture avec tshark, exécutez :

    tshark -r capture.pcap

    Cette commande lit le fichier capture.pcap et affiche les informations de résumé de chaque paquet réseau. Vous verrez des colonnes montrant :

    • Numéro de paquet (séquence dans la capture)
    • Horodatage (quand il a été capturé)
    • Adresses IP source et de destination
    • Protocole utilisé (TCP, UDP, etc.)
    • Informations de base sur le paquet

  4. Pour obtenir une sortie plus propre avec seulement les numéros de paquets et les protocoles, ajoutez l'option -q (silencieux) :

    tshark -r capture.pcap -q

    Le drapeau -q simplifie la sortie en supprimant certains détails. Cela est utile lorsque vous souhaitez simplement parcourir rapidement les types de trafic dans la capture sans voir tous les détails des paquets.

  5. Pour quitter la liste des paquets, appuyez sur Ctrl+C une fois que vous avez vu suffisamment de résultats. Cette combinaison de touches arrête l'exécution de la commande et vous ramène à l'invite du terminal.

N'oubliez pas que ces commandes ne font que afficher les paquets capturés - nous ne modifions en aucun cas le fichier. Les étapes suivantes vous montreront comment analyser ce trafic plus en détail.

Calculer les statistiques de hiérarchie avec -z io,phs

Dans cette étape, nous allons explorer comment analyser le trafic réseau en générant des statistiques de hiérarchie de protocole à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -z io,phs crée une vue structurée montrant comment différents protocoles réseau sont liés les uns aux autres dans le trafic capturé.

  1. Tout d'abord, assurons-nous d'être dans le bon répertoire de travail où se trouve notre fichier de capture :

    cd ~/project

    Cette commande nous amène dans le répertoire du projet où nous allons travailler avec notre fichier de capture de paquets.

  2. Maintenant, analysons le fichier capture.pcap pour voir la distribution des protocoles. Exécutez cette commande :

    tshark -r capture.pcap -z io,phs

    Voici ce que chaque partie fait :

    • -r capture.pcap lit notre fichier de capture de paquets
    • -z io,phs génère les statistiques de hiérarchie de protocole

  3. La commande produit une sortie montrant comment les protocoles sont hiérarchisés dans votre trafic réseau. Voici une structure d'exemple :

    ======================================================
Protocol Hierarchy Statistics
Filter:

eth                                      frames:100 bytes:10000
  ip                                     frames:90 bytes:9000
    tcp                                  frames:80 bytes:8000
      http                               frames:70 bytes:7000
    udp                                  frames:10 bytes:1000
  arp                                    frames:10 bytes:1000
======================================================

    Cette structure arborescente révèle :

    • Ethernet (eth) comme la couche de base transportant tout le trafic
    • Les paquets IP représentant 90 % des trames Ethernet
    • TCP étant le protocole de transport dominant au sein d'IP
    • Le trafic HTTP représentant la majorité des paquets TCP

  4. Les statistiques fournissent trois informations clés pour chaque protocole :

    • Le pourcentage du trafic total (impliqué par le nombre de trames)
    • Le nombre absolu de trames et d'octets transmis
    • La relation d'encapsulation entre les protocoles

  5. Pour une vue plus propre sans les informations supplémentaires de capture, ajoutez l'option -q (silencieux) :

    tshark -r capture.pcap -z io,phs -q

    Le drapeau -q supprime les détails supplémentaires, vous donnant uniquement les statistiques de hiérarchie de protocole. Cela est particulièrement utile lorsque vous avez seulement besoin de la répartition des protocoles.

Supprimer les détails des paquets avec -q

Dans cette étape, vous allez apprendre à utiliser l'option -q dans tshark, qui permet de simplifier la sortie lors de l'analyse du trafic réseau. Cela est particulièrement utile lorsque vous avez seulement besoin d'informations statistiques plutôt que des détails complets des paquets.

  1. Tout d'abord, naviguons jusqu'au répertoire de travail où se trouve le fichier de capture de paquets :

    cd ~/project

    Cela garantit que nous sommes au bon endroit pour accéder à notre fichier de capture d'exemple.

  2. Examinons d'abord à quoi ressemble la sortie normale de tshark sans l'option -q :

    tshark -r capture.pcap

    Cette commande affiche les informations complètes des paquets, y compris les en-têtes de protocole et les données de charge utile. Pour les débutants, cette sortie peut sembler écrasante avec trop de détails lorsque vous n'êtes intéressé que par les statistiques globales.

  3. Essayons maintenant la même commande avec l'option -q (silencieux) :

    tshark -r capture.pcap -q

    Remarquez comment cela supprime les informations détaillées des paquets, vous donnant une sortie plus propre. L'option -q indique à tshark de n'afficher que les informations de résumé, ce qui est plus facile à lire lorsque vous n'avez pas besoin des détails au niveau des paquets.

  4. Combinons -q avec les statistiques de hiérarchie de protocole que nous avons apprises précédemment :

    tshark -r capture.pcap -z io,phs -q

    Cette puissante combinaison vous donne seulement les statistiques de protocole sans aucun détail de paquet perturbateur. L'option -z io,phs génère les statistiques tandis que -q garantit que nous ne voyons que le résumé statistique.

  5. Principales différences à observer :

    • Sans -q : Affiche l'analyse complète des paquets, y compris toutes les couches de protocole
    • Avec -q : Fournit une vue plus propre en affichant seulement les informations de résumé/statistiques
    • Particulièrement utile lorsqu'elle est combinée avec les options de statistiques (-z) pour une analyse ciblée

N'oubliez pas que l'option -q est votre allié lorsque vous voulez vous concentrer sur l'image globale plutôt que sur les détails des paquets individuels. Elle permet de réduire le bruit visuel tout en fournissant les informations essentielles dont vous avez besoin pour l'analyse du réseau.

Afficher les statistiques dans la console

Dans cette étape, vous allez apprendre à utiliser les puissantes fonctionnalités statistiques de tshark pour analyser les modèles de trafic réseau directement dans votre terminal. Ces commandes vous aident à comprendre la distribution du trafic, à identifier les principaux communicateurs et à repérer les modèles inhabituels dans les données réseau capturées.

  1. Tout d'abord, assurez-vous d'être dans le bon répertoire de travail où se trouve votre fichier de capture. C'est important car tshark doit accéder au fichier :

    cd ~/project

  2. Affichez les statistiques de base du fichier de capture avec des intervalles de temps. Le drapeau -q supprime les détails des paquets, tandis que -z io,stat,60 crée des blocs de synthèse de 60 secondes :

    tshark -r capture.pcap -q -z io,stat,60

    Cela montre comment le volume de trafic change au fil du temps par segments d'une minute.

  3. Pour voir quelles adresses IP sont les plus actives (statistiques des points terminaux), cette commande compte le trafic par adresse :

    tshark -r capture.pcap -q -z endpoints,ip

    Elle liste toutes les adresses IP en communication avec le nombre de paquets envoyés/reçus et le nombre d'octets.

  4. Pour les statistiques de conversation montrant quelles paires d'adresses IP communiquent et combien :

    tshark -r capture.pcap -q -z conv,ip

    Cela révèle les modèles de communication entre des paires spécifiques de sources et de destinations.

  5. Combinez plusieurs statistiques dans une seule commande pour une analyse complète :

    tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ip

  6. Lors de la revue des statistiques, concentrez-vous sur ces indicateurs clés :

    • Nombre total de paquets et d'octets : Volume total de trafic
    • Distribution du trafic au fil du temps : Repérez les pics ou les modèles inhabituels
    • Principaux points terminaux en communication : Identifiez les utilisateurs les plus actifs
    • Paires de conversation : Comprenez qui communique avec qui et combien

Résumé

Dans ce laboratoire, vous avez appris à utiliser l'outil en ligne de commande tshark de Wireshark pour l'analyse du trafic réseau. Vous avez pratiqué la lecture de fichiers de capture de paquets à l'aide de l'option -r et simplifié la sortie avec le drapeau -q pour une meilleure lisibilité.

De plus, vous avez exploré la génération de statistiques de hiérarchie de protocole grâce à l'option -z io,phs, qui fournit des informations précieuses sur la distribution des protocoles dans le trafic réseau. Cette technique permet d'évaluer rapidement la composition du trafic sans inspecter les paquets individuels.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant