Utiliser les filtres d'affichage dans Tshark

Introduction

Dans ce laboratoire, vous apprendrez à utiliser les filtres d'affichage dans l'outil en ligne de commande Wireshark, tshark, pour une analyse efficace du trafic réseau. Vous pratiquerez la lecture de fichiers de capture de paquets (capture.pcap) et l'application de filtres pour isoler des schémas de trafic spécifiques, tels que les paquets provenant d'adresses IP ou de ports TCP particuliers.

Grâce à des exercices pratiques, vous maîtriserez les commandes clés de tshark, notamment -r pour la lecture de fichiers et -Y pour l'application de filtres. Le laboratoire met l'accent sur la comparaison des résultats filtrés et non filtrés pour améliorer vos compétences de dépannage réseau.

Vérifier l'installation de Tshark et le fichier d'exemple

Dans cette première étape, vous vérifierez que l'outil en ligne de commande tshark est installé et que le fichier d'exemple de capture de paquets est disponible dans votre répertoire de travail. Cela garantit que votre environnement est prêt pour les tâches d'analyse réseau suivantes.

1. Tout d'abord, vérifiez l'installation de tshark en vérifiant sa version. Ouvrez un terminal et exécutez :

   tshark -v

   Vous devriez voir une sortie similaire à ceci, indiquant que tshark est installé :

   TShark (Wireshark) X.Y.Z (Git vX.Y.Z-gXXXXXXXXXXXX)
   ...

   Les numéros de version (X.Y.Z) peuvent varier, mais la présence de la sortie confirme que tshark est prêt.

2. Ensuite, accédez au répertoire de projet où se trouve le fichier d'exemple de capture de paquets. Il s'agit du répertoire de travail par défaut pour ce laboratoire :

   cd ~/project

3. Vérifiez que le fichier d'exemple de capture de paquets, capture.pcap, existe dans ce répertoire. Ce fichier sera utilisé pour toutes les étapes d'analyse suivantes :

   ls -l capture.pcap

   Vous devriez voir une sortie similaire à ceci :

   -rw-r--r-- 1 labex labex 123456 Jan 1 00:00 capture.pcap

   Cette sortie confirme les permissions, le propriétaire, la taille et la date de modification du fichier, indiquant qu'il est présent et accessible.

Lire un fichier de capture de paquets avec -r

Dans cette étape, vous apprendrez à lire et afficher le contenu d'un fichier de capture de paquets à l'aide de tshark. L'option -r est fondamentale pour spécifier un fichier d'entrée, permettant à tshark d'analyser le trafic réseau préenregistré au lieu de capturer des données en direct.

1. Assurez-vous d'être dans le répertoire ~/project, car c'est là que se trouve notre fichier capture.pcap :

   cd ~/project

2. Maintenant, utilisez tshark pour lire et afficher tous les paquets du fichier capture.pcap :

   tshark -r capture.pcap

   Le flag -r indique à tshark de lire à partir du fichier spécifié. Cette commande affichera un résumé de chaque paquet directement dans votre terminal.

3. La sortie affichera des informations de base pour chaque paquet dans des colonnes. Vous verrez des détails tels que le numéro du paquet, l'horodatage, les adresses IP source et destination, le protocole et une brève description. Par exemple :

   1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
   2   0.000123 10.0.0.2 → 10.0.2.15 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0
   ...

   Chaque ligne représente un paquet réseau, offrant un aperçu rapide du trafic.

4. Puisque capture.pcap contient de nombreux paquets, la sortie défilera en continu. Pour arrêter l'affichage et revenir à votre invite de commande, appuyez sur Ctrl+C. Ce raccourci clavier termine correctement le processus tshark.

Filtrer par adresse IP source avec -Y "ip.src==10.0.2.15"

Dans cette étape, vous apprendrez à appliquer un filtre d'affichage pour afficher uniquement les paquets provenant d'une adresse IP source spécifique. L'option -Y dans tshark vous permet d'utiliser la syntaxe de filtre d'affichage puissante de Wireshark pour affiner votre analyse au trafic pertinent.

1. Assurez-vous d'être dans le répertoire ~/project :

   cd ~/project

2. Maintenant, filtrez le fichier capture.pcap pour afficher uniquement les paquets où l'adresse IP source est 10.0.2.15. Le filtre ip.src==10.0.2.15 spécifie cette condition :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15"

   Le flag -Y applique le filtre d'affichage fourni entre guillemets.

3. La commande affichera uniquement les paquets correspondant aux critères du filtre. Vous remarquerez que chaque paquet affiché a 10.0.2.15 comme adresse IP source :

   1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
   3   0.000456 10.0.2.15 → 10.0.0.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
   ...

   Comparez cette sortie avec les résultats non filtrés de l'étape précédente. Ceci démontre comment les filtres d'affichage vous aident à vous concentrer sur des schémas de trafic spécifiques au sein d'un fichier de capture volumineux.

4. Lorsque vous avez terminé d'examiner la sortie filtrée, appuyez sur Ctrl+C pour arrêter l'affichage et revenir à votre invite de commande.

Combiner les filtres avec -Y "ip.src==10.0.2.15 et tcp.port==80"

Dans cette étape, vous apprendrez à combiner plusieurs filtres d'affichage à l'aide d'opérateurs logiques pour affiner votre analyse du trafic réseau. En utilisant l'opérateur et, vous pouvez spécifier que les paquets doivent satisfaire toutes les conditions définies pour être affichés, permettant des investigations hautement ciblées.

1. Assurez-vous d'être dans le répertoire ~/project :

   cd ~/project

2. Maintenant, filtrons les paquets qui satisfont simultanément deux conditions : ils doivent provenir de l'adresse IP 10.0.2.15 ET utiliser le port TCP 80 (couramment utilisé pour le trafic HTTP). L'opérateur et garantit que les deux conditions doivent être vraies pour qu'un paquet soit inclus dans la sortie :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15 et tcp.port==80"

   Cette commande affichera uniquement les paquets qui correspondent à la fois aux critères d'adresse IP source et de port TCP.

3. La sortie affichera uniquement les paquets satisfaisant les deux conditions. Par exemple, vous pourriez voir des requêtes ou réponses HTTP provenant de l'adresse IP spécifiée :

   1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
   5   0.001234 10.0.2.15 → 10.0.0.2 HTTP 145 GET /index.html HTTP/1.1
   ...

   Remarquez comment ce filtre combiné fournit des résultats plus précis par rapport à l'utilisation de filtres uniques. Cette technique est cruciale pour isoler des conversations ou des trafics applicatifs spécifiques.

4. Une fois l'examen de la sortie terminé, appuyez sur Ctrl+C pour revenir à l'invite de commande.

Vérifier la sortie avec -P (Affichage détaillé des paquets)

Dans cette dernière étape, vous apprendrez à afficher des informations détaillées pour les paquets filtrés à l'aide de l'option -P de tshark. L'option -P est particulièrement utile lorsque vous souhaitez voir des résumés de paquets tout en écrivant les paquets dans un fichier, ou lorsqu'elle est utilisée avec d'autres options supprimant la sortie.

1. Assurez-vous d'être dans le répertoire ~/project :

   cd ~/project

2. Tout d'abord, voyons la différence entre utiliser -P et ne pas l'utiliser lors de l'écriture dans un fichier. Exécutez cette commande sans -P :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap

   Remarquez qu'aucune information sur les paquets n'est affichée à l'écran car les paquets sont écrits dans un fichier.

3. Maintenant, exécutez la même commande avec l'option -P :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap -P

   Avec l'option -P, vous verrez des résumés de paquets affichés à l'écran tandis que les paquets sont simultanément écrits dans le fichier :

   1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
   2   0.000123 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
   ...

4. Un autre scénario utile est de combiner -P avec -q (mode silencieux). Essayez d'abord avec seulement -q :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q

   Ceci supprime toute sortie de paquet et affiche uniquement un décompte à la fin.

5. Maintenant, combinez -q avec -P :

   tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q -P

   L'option -P remplace la suppression de -q et affiche à nouveau les résumés de paquets.

L'option -P est la plus précieuse lorsque vous avez besoin de surveiller le traitement des paquets tout en enregistrant simultanément les résultats filtrés dans un fichier, ou lorsque vous souhaitez remplacer la suppression de sortie d'autres options comme -q.

Résumé

Dans ce laboratoire, vous avez appris à appliquer efficacement des filtres d'affichage à l'aide de l'outil en ligne de commande tshark de Wireshark pour l'analyse du trafic réseau. Vous avez pratiqué la lecture de fichiers PCAP avec -r, le filtrage par adresses IP et ports à l'aide de -Y, et la combinaison de conditions avec des opérateurs logiques comme and.

Les exercices ont démontré comment isoler des schémas de trafic spécifiques et vérifier les résultats avec -P, vous dotant de compétences essentielles pour une analyse ciblée des paquets. Ces techniques permettent un dépannage efficace en se concentrant sur les données réseau pertinentes.