LabEx
Se connecterInscription gratuite

Analyse de réseau avec Wireshark

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire, vous entreprendrez un voyage passionnant dans le monde de l'analyse de réseau en utilisant Wireshark, un outil puissant dans le domaine de la cybersécurité. Imaginez que vous êtes un détective numérique, chargé de comprendre les conversations complexes qui se déroulent sur un réseau informatique. Comment pouvez-vous voir ce qui se passe vraiment sous la surface? C'est là que Wireshark intervient.

Wireshark est comme un microscope pour le trafic réseau. Il vous permet de capturer et d'inspecter en temps réel les données qui circulent sur un réseau. Cette capacité est cruciale pour résoudre les problèmes de réseau, détecter les activités inhabituelles et comprendre comment les applications communiquent.

À la fin de ce laboratoire, vous aurez acquis une expérience pratique dans les domaines suivants :

  1. Installation et configuration de Wireshark
  2. Capture du trafic réseau
  3. Analyse des données de paquets
  4. Filtrage des captures de réseau
  5. Identification des protocoles courants

Plongeons dans le monde fascinant de l'analyse de réseau!

Installation de Wireshark

Dans cette étape, nous allons installer Wireshark sur notre système Ubuntu. Wireshark est disponible dans les dépôts Ubuntu par défaut, ce qui rend le processus d'installation simple.

  1. Tout d'abord, ouvrons le terminal. Sur votre bureau, localisez et ouvrez le terminal Xfce.
Ouverture de la fenêtre du terminal Xfce

Note : Les utilisateurs gratuits ne peuvent pas se connecter à Internet, donc Wireshark est déjà préinstallé dans l'environnement de laboratoire. Vous pouvez passer à l'élément 5 de la liste (vérifier si Wireshark est installé). Passez à la version Pro pour pratiquer l'installation de Wireshark vous-même.

Uniquement pour les utilisateurs Pro
  1. Mettons à jour les listes de paquets pour nous assurer d'avoir les informations les plus récentes sur les logiciels disponibles. Exécutez la commande suivante :
sudo apt update
  1. Maintenant que nos listes de paquets sont à jour, installons Wireshark. Entrez la commande suivante :
sudo apt install wireshark -y
  1. Pendant l'installation, on vous demandera si vous souhaitez autoriser les non-superutilisateurs à capturer des paquets. Sélectionnez "Oui" à l'aide des touches fléchées et appuyez sur Entrée. Cela vous permettra d'utiliser Wireshark sans avoir besoin de l'exécuter en tant que root, ce qui est plus sûr.
Invite d'installation de Wireshark
  1. Une fois l'installation terminée, vérifiez que Wireshark a été installé correctement en vérifiant sa version :
wireshark --version

Vous devriez voir un affichage indiquant le numéro de version de Wireshark.

  1. Pour vous assurer que vous avez les autorisations nécessaires pour capturer des paquets, ajoutez votre utilisateur au groupe wireshark :

Tout d'abord, vérifions si le groupe wireshark existe :

getent group wireshark

Si le groupe wireshark n'existe pas, créez-le avec la commande suivante :

sudo groupadd wireshark

Par défaut, Wireshark s'exécute avec des privilèges non-root, ce qui peut limiter sa capacité à capturer des paquets à partir de certaines interfaces ou protocoles. Pour donner à Wireshark les autorisations nécessaires avec Dumpcap, un outil qui est installé avec Wireshark, utilisez les commandes suivantes :

sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a $USER wireshark

Félicitations! Vous venez d'installer l'un des outils les plus puissants dans la boîte à outils d'un analyste réseau.

Capture du trafic réseau

Maintenant que nous avons installé Wireshark, capturons un peu de trafic réseau. C'est comme installer un filet pour attraper tous les paquets de données qui circulent sur notre interface réseau.

  1. Ouvrez Wireshark en tapant wireshark dans le terminal et en appuyant sur Entrée.

  2. Lorsque Wireshark s'ouvre, vous verrez une liste d'interfaces réseau. Recherchez une interface indiquant "eth0" ou "eth1" - ce sont généralement les principales interfaces réseau.

Sélection de l'interface Wireshark
  1. Double-cliquez sur l'interface pour commencer à capturer les paquets. Vous verrez un flux de paquets commencer à apparaître dans la fenêtre principale.
Fenêtre de capture de paquets Wireshark

  1. Générons un peu de trafic à capturer. Ouvrez une nouvelle fenêtre de terminal et entrez la commande suivante :

    curl http://example.com

    Cette commande récupérera la page web à l'adresse example.com, générant ainsi un peu de trafic HTTP.

  2. Après quelques secondes de capture, cliquez sur le bouton "Arrêter" (carré rouge) en haut de la fenêtre Wireshark pour arrêter la capture.

  3. Vous venez de capturer votre première série de trafic réseau! Chaque ligne de la capture représente un paquet – une petite unité de données envoyée sur le réseau.

  4. Pour enregistrer cette capture pour une analyse ultérieure, allez dans Fichier > Enregistrer et enregistrez le fichier sous le nom myfirstcapture.pcapng dans votre répertoire personnel (/home/labex).

Enregistrement du fichier de capture de réseau

Ce processus de capture du trafic réseau est fondamental pour l'analyse de réseau. Dans les étapes suivantes, nous apprendrons à interpréter ces données.

Analyse des données de paquets

Maintenant que nous avons capturé un peu de trafic réseau, plongeons dans les données et voyons ce que nous pouvons en apprendre.

  1. Ouvrez votre fichier de capture enregistré dans Wireshark en allant dans Fichier > Ouvrir et en sélectionnant myfirstcapture.pcapng depuis votre répertoire personnel. Ou double-cliquez sur le fichier pour l'ouvrir.

  2. Dans le panneau supérieur, vous verrez une liste de tous les paquets capturés. Chaque ligne représente un seul paquet et inclut des informations telles que les adresses IP source et de destination, le protocole utilisé et un champ d'informations succinctes.

  3. Cliquez sur un paquet pour le sélectionner. Dans le panneau du milieu, vous verrez les détails du paquet décomposés en différentes couches de protocole. C'est comme éplucher une oignon – chaque couche révèle plus d'informations sur le paquet.

  4. Recherchons le trafic HTTP (navigation web). Dans la barre de filtre en haut de la fenêtre, tapez http et appuyez sur Entrée. Cela affichera uniquement les paquets HTTP.

Filtre de paquets HTTP dans Wireshark
  1. Trouvez un paquet avec "GET" dans le champ d'informations. Cela représente une demande de page web. Cliquez sur ce paquet pour examiner les détails.
Détails d'un paquet HTTP GET

  1. Dans le panneau des détails du paquet (au milieu), développez la section "Hypertext Transfer Protocol" (Protocole de transfert hypertexte). Vous pouvez y voir les détails de la demande HTTP, y compris la page spécifique demandée.

  2. Maintenant, recherchons la réponse du serveur. Trouvez un paquet avec "HTTP/1.1 200 OK" dans le champ d'informations. Cela représente une réponse réussie du serveur web.

Paquet de réponse réussie du serveur HTTP
  1. Examinez les détails de ce paquet. Vous pourriez être en mesure de voir le contenu de la page web dans la section "Line-based text data" (Données textuelles basées sur des lignes).

Ce processus d'analyse est crucial pour comprendre le comportement du réseau. C'est comme lire un journal de conversation – vous pouvez voir qui parle à qui, ce qu'ils disent et comment ils le disent.

Utilisation des filtres

Le véritable pouvoir de Wireshark réside dans sa capacité à filtrer et à analyser rapidement de grandes quantités de données réseau. Dans cette étape, nous allons apprendre à utiliser les filtres pour nous concentrer sur des types spécifiques de trafic.

  1. Avec votre fichier de capture ouvert dans Wireshark, commençons par utiliser quelques filtres d'affichage simples :

    • Pour afficher uniquement le trafic TCP, tapez tcp dans la barre de filtre et appuyez sur Entrée.
    • Pour afficher le trafic vers ou depuis une adresse IP spécifique, tapez ip.addr == 93.184.215.14 (c'est l'adresse IP de example.com, mais vous pouvez la remplacer par n'importe quelle adresse IP que vous voyez dans votre capture).
Exemple de filtre TCP dans Wireshark
  • Pour afficher toutes les requêtes HTTP GET, tapez http.request.method == "GET".

  1. Créons un filtre plus complexe. Nous allons rechercher toutes les requêtes HTTP GET vers example.com :

    • Dans la barre de filtre, entrez : http.request.method == "GET" && http.host contains "example.com"
Filtre HTTP GET dans Wireshark
  • Ce filtre affiche toutes les requêtes GET vers tout domaine contenant "example.com".

  1. Wireshark vous permet également d'enregistrer des filtres pour une utilisation ultérieure. Enregistrons notre filtre HTTP GET :

    • Cliquez sur le signe plus ("+") à côté de la barre de filtre.
    • Nommez le filtre "HTTP GETs" et cliquez sur Enregistrer.
    • Vous pouvez maintenant appliquer rapidement ce filtre à tout moment en le sélectionnant dans la liste des filtres enregistrés.

  2. Enfin, exportons certains de nos résultats. Allez dans Statistiques > HTTP > Requêtes, puis cliquez sur "Enregistrer sous" pour exporter la liste des requêtes HTTP dans un fichier.

    • Choisissez /home/labex et enregistrez le fichier sous le nom http_requests.txt.
Exportation de la liste des requêtes HTTP

Utiliser les filtres de cette manière vous permet de trier rapidement de grandes quantités de données réseau et de vous concentrer sur ce qui est important. C'est comme avoir une loupe surpuissante qui peut vous montrer instantanément des types spécifiques de trafic réseau.

Résumé

Dans ce laboratoire, vous avez franchi vos premiers pas dans le monde de l'analyse de réseau avec Wireshark. Vous avez appris à :

  1. Installer et configurer Wireshark sur un système Linux
  2. Capturer le trafic réseau et le sauvegarder pour analyse
  3. Examiner les données de paquets pour comprendre les conversations réseau
  4. Utiliser des filtres pour vous concentrer sur des types spécifiques de trafic

Ces compétences constituent la base de l'analyse de réseau et sont cruciales pour quiconque s'intéresse à la cybersécurité ou à l'administration de réseau. Au fur et à mesure de votre progression, vous constaterez que Wireshark est un outil inestimable pour comprendre le comportement du réseau, résoudre les problèmes et même détecter les menaces de sécurité. Continuez à pratiquer et à explorer – il y a toujours plus à apprendre dans le monde fascinant de l'analyse de réseau!

Pour approfondir votre compréhension de Wireshark et de l'analyse de réseau, consultez le cours "Quick Start with Wireshark" (Démarrage rapide avec Wireshark) sur LabEx. Ce cours aborde des sujets avancés et inclut des exercices pratiques pour vous aider à maîtriser cet outil puissant : https://labex.io/courses/quick-start-with-wireshark.

Image de couverture du cours Wireshark
Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant