LabEx
Se connecterInscription gratuite

Surveiller le trafic en temps réel avec Tshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous apprendrez à surveiller le trafic réseau en temps réel à l'aide de l'outil en ligne de commande tshark de Wireshark. Vous allez pratiquer la capture de paquets sur l'interface eth1, configurer les mises à jour des statistiques en direct et analyser la sortie synthétisée avec des commandes clés telles que -i et --update-interval.

Grâce à des exercices pratiques, vous observerez les négociations TCP (handshakes TCP), terminerez des sessions et interpréterez les détails du trafic en temps réel, y compris les adresses IP et les protocoles. Ce laboratoire offre une expérience pratique des techniques essentielles d'analyse de réseau.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/interface -.-> lab-548934{{"Surveiller le trafic en temps réel avec Tshark"}} wireshark/packet_capture -.-> lab-548934{{"Surveiller le trafic en temps réel avec Tshark"}} wireshark/commandline_usage -.-> lab-548934{{"Surveiller le trafic en temps réel avec Tshark"}} end

Démarrer la capture avec -i eth1

Dans cette étape, vous apprendrez à démarrer la capture de paquets réseau à l'aide de l'outil en ligne de commande tshark de Wireshark sur l'interface eth1. Il s'agit de l'opération fondamentale pour l'analyse du trafic réseau.

Les interfaces réseau sont les points physiques ou virtuels par lesquels votre ordinateur se connecte à un réseau. Le paramètre -i dans tshark spécifie l'interface réseau à partir de laquelle capturer les paquets. Dans la plupart des systèmes Linux, eth1 représente la première interface Ethernet, qui est généralement votre connexion réseau filaire principale. Dans notre environnement de machine virtuelle LabEx, eth1 est l'interface Ethernet par défaut connectée au réseau.

Lorsque vous exécutez tshark sans filtre, il capturera tout le trafic réseau passant par l'interface spécifiée. Cela inclut à la fois les paquets entrants et sortants. La commande que nous allons utiliser offre une vue en temps réel de ce trafic.

Suivez ces étapes pour commencer la capture :

  1. Ouvrez le terminal dans votre machine virtuelle LabEx (vous devriez déjà être dans le répertoire ~/project).
  2. Exécutez la commande suivante pour démarrer la capture sur eth1 :
tshark -i eth1

Cette commande indique à tshark d'écouter sur l'interface eth1 et d'afficher chaque paquet au fur et à mesure de sa capture. La sortie affichera des informations détaillées sur chaque paquet réseau en temps réel.

Vous devriez voir une sortie similaire à celle-ci lorsque les paquets commencent à être capturés :

Capturing on 'eth1'
1 0.000000000 192.168.1.100 → 192.168.1.1    TCP 74 55942 → 80 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=123456789 TSecr=0 WS=128
2 0.000123456 192.168.1.1 → 192.168.1.100    TCP 74 80 → 55942 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460 SACK_PERM=1 TSval=987654321 TSecr=123456789 WS=128

Chaque ligne représente un paquet capturé, affichant son horodatage, les adresses IP source et de destination, le type de protocole (TCP dans ce cas) et divers détails spécifiques au protocole. Le premier paquet montre l'initiation d'une connexion TCP (drapeau SYN), tandis que le deuxième montre la réponse (SYN-ACK).

Pour arrêter la capture, appuyez sur Ctrl+C dans le terminal. Cela affichera un résumé des paquets capturés avant de revenir à l'invite de commande. Le résumé inclut des statistiques sur le nombre de paquets capturés et traités.

Configurer des mises à jour toutes les secondes avec --update-interval 1000

Dans cette étape, nous allons configurer tshark pour afficher des mises à jour périodiques des statistiques de trafic réseau. Cette approche est particulièrement utile pour les débutants car elle offre une vue claire et gérable de l'activité réseau sans vous submerger avec les détails constants des paquets.

Le paramètre --update-interval contrôle la fréquence à laquelle tshark rafraîchit son affichage. La valeur est spécifiée en millisecondes (ms), où 1000 ms équivalent à 1 seconde. Cela signifie que nous obtiendrons un instantané de notre trafic réseau toutes les secondes, ce qui facilite l'observation des modèles et des changements.

Avant de commencer, comprenons ce que nous allons faire :

  • Nous surveillons l'interface réseau eth1 (le port Ethernet par défaut sur la plupart des systèmes).
  • Au lieu de voir chaque paquet individuellement, nous verrons des comptes synthétisés.
  • L'affichage se rafraîchira automatiquement toutes les secondes.

Voici comment configurer cela :

  1. Tout d'abord, assurez-vous d'être dans le bon répertoire de travail. Ouvrez votre terminal et accédez à :
cd ~/project
  1. Maintenant, exécutez cette commande pour commencer la surveillance avec des mises à jour toutes les secondes :
tshark -i eth1 --update-interval 1000

Après avoir exécuté cela, vous verrez une sortie similaire à :

Capturing on 'eth1'
Packets: 15
Packets: 32
Packets: 47

Notes importantes concernant la sortie :

  • Le compte "Packets" montre le nombre total de paquets capturés depuis le démarrage de tshark.
  • Chaque nouvelle ligne représente une mise à jour après l'intervalle spécifié (1 seconde).
  • Les nombres varieront en fonction de votre activité réseau réelle.
  • Des nombres plus élevés indiquent plus de trafic réseau pendant cette période.

Cette méthode vous offre une vue d'ensemble périodique et claire de l'activité réseau, ce qui est particulièrement utile lorsque vous commencez à apprendre la surveillance réseau et que vous souhaitez observer les modèles de trafic sans vous perdre dans les détails.

Afficher un résumé en direct avec -P

Dans cette étape, nous allons explorer comment surveiller le trafic réseau de manière globale en utilisant le mode de synthèse de tshark. Cela est particulièrement utile lorsque vous souhaitez observer les modèles de trafic sans être submergé par les détails de chaque paquet. Imaginez cela comme regarder le flux de trafic sur une autoroute plutôt que d'examiner chaque voiture.

Le paramètre -P indique à tshark d'afficher des statistiques périodiques au lieu de montrer chaque paquet. Lorsqu'il est combiné avec --update-interval, il crée une vue ressemblant à un tableau de bord qui se rafraîchit à l'intervalle de temps que vous spécifiez. Cette approche est beaucoup plus efficace que de défiler à travers les données brutes des paquets lorsque vous avez seulement besoin d'une vue d'ensemble.

Avant de commencer, assurez-vous d'être dans le bon répertoire de travail où vous avez la permission de capturer le trafic réseau. La commande que nous allons utiliser s'appuie sur ce que vous avez appris dans les étapes précédentes :

tshark -i eth1 --update-interval 1000 -P

Voici ce que chaque partie fait :

  • -i eth1 spécifie l'interface réseau à surveiller.
  • --update-interval 1000 définit la fréquence de rafraîchissement à 1000 millisecondes (1 seconde).
  • -P active le mode d'affichage des statistiques périodiques.

Après avoir exécuté la commande, vous verrez une sortie qui se met à jour toutes les secondes, affichant trois métriques clés :

Capturing on 'eth1'
Packets: 15    Avg. packet size: 342 bytes    Packets/s: 5
Packets: 32    Avg. packet size: 356 bytes    Packets/s: 8
Packets: 47    Avg. packet size: 378 bytes    Packets/s: 7

Ces métriques vous indiquent :

  1. Le nombre total de paquets capturés depuis le démarrage.
  2. La taille moyenne de ces paquets en octets.
  3. Le taux actuel de paquets circulant à travers l'interface.

Cette vue est particulièrement utile pour repérer des pics soudains de trafic ou des modèles inhabituels dans l'activité de votre réseau. Les nombres changeront dynamiquement à mesure que les conditions du réseau évoluent, vous donnant un aperçu en temps réel de ce qui se passe sur votre réseau.

Arrêter avec Ctrl+C

Dans cette étape, nous allons apprendre comment arrêter en toute sécurité une session de capture de paquets tshark en cours. En tant que débutant, il est important de comprendre que simplement fermer le terminal ou tuer le processus brusquement peut entraîner une perte de données. La méthode appropriée utilise le mécanisme standard d'interruption Linux.

Lorsque vous exécutez tshark, il surveille en continu le trafic réseau et écrit les données en mémoire. En appuyant sur Ctrl+C, vous envoyez un signal SIGINT (signal d'interruption) qui indique à tshark de :

  1. Arrêter immédiatement la capture de nouveaux paquets.
  2. Finaliser et afficher les statistiques collectées.
  3. Quitter proprement et revenir à l'invite de commande.

Voici exactement ce que vous devez faire :

  1. Tout d'abord, assurez-vous que votre capture tshark est en cours d'exécution (en utilisant la même commande que précédemment : -i eth1 --update-interval 1000 -P).
  2. Sur votre clavier, appuyez et maintenez la touche Ctrl.
  3. Tout en maintenant la touche Ctrl enfoncée, appuyez une fois sur la touche C.

Vous verrez une sortie comme celle-ci :

^C
47 packets captured

Le symbole ^C confirme que vous avez appuyé sur Ctrl+C. Le nombre indique combien de paquets ont été capturés avec succès pendant votre session. Ce compte vous aide à vérifier que votre capture a fonctionné comme prévu avant de l'arrêter.

N'oubliez pas que cette méthode conserve toutes les données capturées et vous permet de quitter proprement, contrairement à l'arrêt forcé qui pourrait entraîner la perte de paquets en cours de traitement lors de l'arrêt.

Résumé

Dans ce laboratoire, vous avez appris à surveiller le trafic réseau en temps réel en utilisant Tshark, l'interface en ligne de commande de Wireshark. Les techniques clés ont inclus le lancement de la capture de paquets sur eth1 avec -i, la configuration de mises à jour périodiques via --update-interval et l'affichage de résumés de paquets en direct à l'aide de -P.

Les exercices ont offert une expérience pratique de la capture de paquets bruts, de l'analyse des négociations TCP (handshakes TCP) et du suivi des statistiques de trafic en temps réel. Ces compétences fondamentales permettent une surveillance et une résolution de problèmes réseau efficaces grâce à l'inspection de paquets via le terminal.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant