Introduction
Dans ce laboratoire, vous apprendrez à analyser le trafic réseau à l'aide de l'outil en ligne de commande tshark de Wireshark en générant des statistiques de protocole à partir d'un fichier de capture de paquets. Vous explorerez des options clés telles que -r pour lire des fichiers, -q pour le mode silencieux et -z io,phs pour les statistiques de hiérarchie de protocole.
L'exercice vous guidera tout au long de la vérification des fichiers de capture, de la visualisation des résumés de paquets et de l'interprétation des distributions de protocoles. Cette expérience pratique améliorera vos compétences en analyse de réseau grâce aux fonctionnalités statistiques de tshark.
Lire un fichier avec -r capture.pcap
Dans cette étape, vous apprendrez à ouvrir et à analyser un fichier de capture de paquets à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -r est essentielle car elle spécifie le fichier de capture de paquets à lire. Imaginez cela comme l'ouverture d'un document avec un éditeur de texte - vous devez indiquer au programme quel fichier utiliser.
Tout d'abord, assurez-vous d'être dans le bon répertoire. Ouvrez le terminal et exécutez :
cd ~/projectCette commande vous amène dans le répertoire du projet où se trouve notre fichier de capture d'exemple. C'est comme ouvrir le bon dossier avant d'accéder à un fichier.
L'environnement de laboratoire fournit un fichier de capture d'exemple nommé
capture.pcap. Vérifiez son existence :ls -l capture.pcapLa sortie attendue devrait montrer les détails du fichier comme :
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcapLa commande
ls -laffiche les autorisations, la taille et la date de modification du fichier. Cela confirme que le fichier est présent et accessible avant de tenter de l'analyser.Pour lire le fichier de capture avec tshark, exécutez :
tshark -r capture.pcapCette commande lit le fichier
capture.pcapet affiche les informations de résumé de chaque paquet réseau. Vous verrez des colonnes montrant :- Numéro de paquet (séquence dans la capture)
- Horodatage (quand il a été capturé)
- Adresses IP source et de destination
- Protocole utilisé (TCP, UDP, etc.)
- Informations de base sur le paquet
Pour obtenir une sortie plus propre avec seulement les numéros de paquets et les protocoles, ajoutez l'option
-q(silencieux) :tshark -r capture.pcap -qLe drapeau
-qsimplifie la sortie en supprimant certains détails. Cela est utile lorsque vous souhaitez simplement parcourir rapidement les types de trafic dans la capture sans voir tous les détails des paquets.Pour quitter la liste des paquets, appuyez sur
Ctrl+Cune fois que vous avez vu suffisamment de résultats. Cette combinaison de touches arrête l'exécution de la commande et vous ramène à l'invite du terminal.
N'oubliez pas que ces commandes ne font que afficher les paquets capturés - nous ne modifions en aucun cas le fichier. Les étapes suivantes vous montreront comment analyser ce trafic plus en détail.
Calculer les statistiques de hiérarchie avec -z io,phs
Dans cette étape, nous allons explorer comment analyser le trafic réseau en générant des statistiques de hiérarchie de protocole à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -z io,phs crée une vue structurée montrant comment différents protocoles réseau sont liés les uns aux autres dans le trafic capturé.
Tout d'abord, assurons-nous d'être dans le bon répertoire de travail où se trouve notre fichier de capture :
cd ~/projectCette commande nous amène dans le répertoire du projet où nous allons travailler avec notre fichier de capture de paquets.
Maintenant, analysons le fichier
capture.pcappour voir la distribution des protocoles. Exécutez cette commande :tshark -r capture.pcap -z io,phsVoici ce que chaque partie fait :
-r capture.pcaplit notre fichier de capture de paquets-z io,phsgénère les statistiques de hiérarchie de protocole
La commande produit une sortie montrant comment les protocoles sont hiérarchisés dans votre trafic réseau. Voici une structure d'exemple :
====================================================== Protocol Hierarchy Statistics Filter: eth frames:100 bytes:10000 ip frames:90 bytes:9000 tcp frames:80 bytes:8000 http frames:70 bytes:7000 udp frames:10 bytes:1000 arp frames:10 bytes:1000 ======================================================Cette structure arborescente révèle :
- Ethernet (eth) comme la couche de base transportant tout le trafic
- Les paquets IP représentant 90 % des trames Ethernet
- TCP étant le protocole de transport dominant au sein d'IP
- Le trafic HTTP représentant la majorité des paquets TCP
Les statistiques fournissent trois informations clés pour chaque protocole :
- Le pourcentage du trafic total (impliqué par le nombre de trames)
- Le nombre absolu de trames et d'octets transmis
- La relation d'encapsulation entre les protocoles
Pour une vue plus propre sans les informations supplémentaires de capture, ajoutez l'option
-q(silencieux) :tshark -r capture.pcap -z io,phs -qLe drapeau
-qsupprime les détails supplémentaires, vous donnant uniquement les statistiques de hiérarchie de protocole. Cela est particulièrement utile lorsque vous avez seulement besoin de la répartition des protocoles.
Supprimer les détails des paquets avec -q
Dans cette étape, vous allez apprendre à utiliser l'option -q dans tshark, qui permet de simplifier la sortie lors de l'analyse du trafic réseau. Cela est particulièrement utile lorsque vous avez seulement besoin d'informations statistiques plutôt que des détails complets des paquets.
Tout d'abord, naviguons jusqu'au répertoire de travail où se trouve le fichier de capture de paquets :
cd ~/projectCela garantit que nous sommes au bon endroit pour accéder à notre fichier de capture d'exemple.
Examinons d'abord à quoi ressemble la sortie normale de tshark sans l'option
-q:tshark -r capture.pcapCette commande affiche les informations complètes des paquets, y compris les en-têtes de protocole et les données de charge utile. Pour les débutants, cette sortie peut sembler écrasante avec trop de détails lorsque vous n'êtes intéressé que par les statistiques globales.
Essayons maintenant la même commande avec l'option
-q(silencieux) :tshark -r capture.pcap -qRemarquez comment cela supprime les informations détaillées des paquets, vous donnant une sortie plus propre. L'option
-qindique à tshark de n'afficher que les informations de résumé, ce qui est plus facile à lire lorsque vous n'avez pas besoin des détails au niveau des paquets.Combinons
-qavec les statistiques de hiérarchie de protocole que nous avons apprises précédemment :tshark -r capture.pcap -z io,phs -qCette puissante combinaison vous donne seulement les statistiques de protocole sans aucun détail de paquet perturbateur. L'option
-z io,phsgénère les statistiques tandis que-qgarantit que nous ne voyons que le résumé statistique.Principales différences à observer :
- Sans
-q: Affiche l'analyse complète des paquets, y compris toutes les couches de protocole - Avec
-q: Fournit une vue plus propre en affichant seulement les informations de résumé/statistiques - Particulièrement utile lorsqu'elle est combinée avec les options de statistiques (
-z) pour une analyse ciblée
- Sans
N'oubliez pas que l'option -q est votre allié lorsque vous voulez vous concentrer sur l'image globale plutôt que sur les détails des paquets individuels. Elle permet de réduire le bruit visuel tout en fournissant les informations essentielles dont vous avez besoin pour l'analyse du réseau.
Afficher les statistiques sur la console
Dans cette étape, vous allez apprendre à utiliser les puissantes fonctionnalités statistiques de tshark pour analyser les modèles de trafic réseau directement dans votre terminal. Ces commandes vous aident à comprendre la distribution du trafic, à identifier les principaux communicateurs et à repérer les modèles inhabituels dans les données réseau capturées.
Tout d'abord, assurez-vous d'être dans le bon répertoire de travail où se trouve votre fichier de capture. C'est important car tshark doit accéder au fichier :
cd ~/projectAffichez les statistiques de base du fichier de capture avec des intervalles de temps. Le drapeau
-qsupprime les détails des paquets, tandis que-z io,stat,60crée des blocs de synthèse de 60 secondes :tshark -r capture.pcap -q -z io,stat,60Cela montre comment le volume de trafic change au fil du temps par segments d'une minute.
Pour voir quelles adresses IP sont les plus actives (statistiques des points terminaux), cette commande compte le trafic par adresse :
tshark -r capture.pcap -q -z endpoints,ipElle liste toutes les adresses IP en communication avec le nombre de paquets envoyés/reçus et le nombre d'octets.
Pour les statistiques de conversation montrant quelles paires d'adresses IP communiquent et combien :
tshark -r capture.pcap -q -z conv,ipCela révèle les modèles de communication entre des paires spécifiques de sources et de destinations.
Combinez plusieurs statistiques dans une seule commande pour une analyse complète :
tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ipLors de la revue des statistiques, concentrez-vous sur ces indicateurs clés :
- Nombre total de paquets et d'octets : Volume total de trafic
- Distribution du trafic au fil du temps : Repérez les pics ou les modèles inhabituels
- Principaux points terminaux en communication : Identifiez les utilisateurs les plus actifs
- Paires de conversation : Comprenez qui communique avec qui et combien
Résumé
Dans ce laboratoire, vous avez appris à utiliser l'outil en ligne de commande tshark de Wireshark pour l'analyse du trafic réseau. Vous avez pratiqué la lecture de fichiers de capture de paquets à l'aide de l'option -r et simplifié la sortie avec le drapeau -q pour une meilleure lisibilité.
De plus, vous avez exploré la génération de statistiques de hiérarchie de protocole grâce à l'option -z io,phs, qui fournit des informations précieuses sur la distribution des protocoles dans le trafic réseau. Cette technique permet d'évaluer rapidement la composition du trafic sans inspecter les paquets individuels.


