💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici
Dans le paysage en constante évolution de la cybersécurité, comprendre et analyser le trafic réseau est essentiel pour maintenir des mesures de sécurité solides. Ce tutoriel vous guidera tout au long du processus d'utilisation de l'interface en ligne de commande (CLI) de Wireshark pour capturer et analyser le trafic réseau lié à la cybersécurité, vous dotant des compétences nécessaires pour améliorer la posture de sécurité de votre réseau.
Wireshark est un puissant analyseur de protocoles réseau qui vous permet de capturer, d'inspecter et d'analyser le trafic réseau. C'est un outil largement utilisé dans le domaine de la cybersécurité pour comprendre et résoudre les problèmes liés au réseau. Wireshark propose une interface graphique utilisateur (GUI) pour ses fonctionnalités principales, mais il offre également une interface en ligne de commande (CLI) appelée tshark, qui vous permet d'analyser le trafic réseau depuis le terminal.
tshark est la version en ligne de commande de Wireshark, offrant les mêmes capacités d'analyse de réseau que la version GUI, mais avec une interface basée sur le texte. tshark vous permet de capturer, de filtrer et d'analyser le trafic réseau directement depuis le terminal, ce qui en fait un outil précieux pour les professionnels de la cybersécurité et les administrateurs réseau.
tshark facilite l'intégration dans des scripts et des flux de travail d'automatisation, vous permettant d'automatiser les tâches d'analyse de trafic réseau.tshark pour capturer et analyser le trafic réseau sur des systèmes distants, ce qui en fait un outil précieux pour la réponse aux incidents et la résolution de problèmes réseau.tshark est généralement plus léger et plus efficace en termes de ressources que la version complète de Wireshark avec GUI, ce qui le rend adapté pour être utilisé sur des systèmes à ressources limitées.tshark vous permet de vous concentrer sur des aspects spécifiques du trafic réseau, facilitant ainsi l'analyse ciblée et l'extraction d'informations pertinentes.Pour installer tshark sur un système Ubuntu 22.04, suivez ces étapes :
sudo apt-get updatetshark :sudo apt update
sudo apt-get install tsharktshark :tshark --versionVous devriez voir les informations de version affichées, ce qui indique une installation réussie.
tsharkPour capturer le trafic réseau en utilisant tshark, vous pouvez utiliser la commande suivante :
tshark -i <interface> -w <output_file.pcap>Ici, <interface> est l'interface réseau sur laquelle vous souhaitez capturer le trafic, et <output_file.pcap> est le nom du fichier de sortie dans lequel le trafic capturé sera enregistré au format pcap.
Par exemple, pour capturer le trafic sur l'interface eth0 et l'enregistrer dans un fichier nommé network_traffic.pcap, vous utiliseriez la commande suivante :
tshark -i eth0 -w network_traffic.pcaptshark propose un ensemble puissant d'options de filtrage pour vous aider à vous concentrer sur le trafic spécifique qui vous intéresse. Vous pouvez utiliser des filtres d'affichage pour filtrer le trafic capturé en fonction de différents critères, tels que le protocole, l'adresse IP source ou de destination, le numéro de port, etc.
Voici un exemple de capture de trafic et de filtrage pour les requêtes HTTP :
tshark -i eth0 -w http_traffic.pcap -Y "http"L'option -Y est utilisée pour spécifier le filtre d'affichage, dans ce cas, pour filtrer les paquets liés au protocole HTTP.
Vous pouvez également capturer le trafic pendant une durée spécifique en utilisant l'option -a. Par exemple, pour capturer le trafic pendant 60 secondes :
tshark -i eth0 -w network_traffic.pcap -a duration:60Si vous avez besoin de capturer le trafic depuis plusieurs interfaces réseau, vous pouvez utiliser l'option -i plusieurs fois :
tshark -i eth0 -i eth1 -w network_traffic.pcapCela capturera le trafic depuis les interfaces eth0 et eth1 et l'enregistrera dans le fichier network_traffic.pcap.
Pour capturer tout le trafic sur le réseau, y compris le trafic qui n'est pas directement adressé à l'appareil de capture, vous pouvez utiliser l'option -p pour activer le mode promiscuité :
tshark -i eth0 -p -w network_traffic.pcapCela capturera tout le trafic sur l'interface eth0, indépendamment de la destination.
tsharkUne fois que vous avez capturé le trafic réseau à l'aide de tshark, vous pouvez analyser les données pour identifier les menaces de sécurité potentielles ou les anomalies. tshark propose un large éventail d'options et de filtres pour vous aider à analyser le trafic capturé.
Pour afficher les paquets capturés et leurs détails, vous pouvez utiliser la commande suivante :
tshark -r network_traffic.pcapCela affichera les informations sur les paquets, y compris le protocole, les adresses source et de destination, ainsi que d'autres détails pertinents.
Vous pouvez filtrer le trafic capturé en fonction de protocoles spécifiques pour vous concentrer sur le trafic pertinent pour votre analyse en matière de cybersécurité. Par exemple, pour afficher uniquement le trafic HTTP :
tshark -r network_traffic.pcap -Y "http"Cela affichera uniquement les paquets qui correspondent au protocole HTTP.
tshark peut être utilisé pour analyser les modèles de trafic et identifier les menaces de sécurité potentielles. Par exemple, vous pouvez rechercher des volumes de trafic inhabituels, des adresses source ou de destination suspectes ou une utilisation inhabituelle de protocoles.
Voici un exemple de comment afficher les principaux émetteurs (hôtes avec le plus grand volume de trafic) dans les données capturées :
tshark -r network_traffic.pcap -q -z conv,ipCela affichera un tableau montrant les principales conversations IP, ce qui peut vous aider à identifier les hôtes qui génèrent beaucoup de trafic.
tshark peut également être utilisé pour détecter les anomalies dans le trafic réseau, telles qu'une utilisation inhabituelle de protocoles, des numéros de port inattendus ou des adresses IP suspectes. Vous pouvez utiliser une combinaison de filtres et d'options d'affichage pour identifier ces anomalies.
Par exemple, pour détecter une activité potentielle de balayage de ports, vous pouvez rechercher un grand nombre de tentatives de connexion à différents ports sur le même hôte :
tshark -r network_traffic.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0" -q -z io,phsCela affichera un histogramme montrant la distribution des paquets TCP SYN, ce qui peut vous aider à identifier une activité potentielle de balayage de ports.
LabEx, un fournisseur de premier plan de solutions de cybersécurité, propose une gamme d'outils et de services pour améliorer vos capacités d'analyse de trafic réseau. En intégrant les solutions de LabEx avec tshark, vous pouvez exploiter des fonctionnalités et des techniques avancées pour améliorer votre posture en matière de cybersécurité.
À la fin de ce tutoriel, vous aurez une bonne compréhension de l'utilisation de l'interface en ligne de commande (CLI) de Wireshark pour capturer et analyser le trafic réseau en matière de cybersécurité. Cette connaissance vous permettra d'identifier les menaces potentielles, d'enquêter sur les incidents de sécurité et de prendre des décisions éclairées pour renforcer la défense de votre réseau contre les attaques en matière de cybersécurité.
