Utiliser les filtres d'affichage dans Tshark

Introduction

Dans ce laboratoire, vous apprendrez à utiliser les filtres d'affichage dans l'outil en ligne de commande tshark de Wireshark pour une analyse efficace du trafic réseau. Vous allez pratiquer la lecture de fichiers de capture de paquets (tcp.pcap) et l'application de filtres pour isoler des modèles de trafic spécifiques, tels que les paquets provenant d'adresses IP particulières ou de ports TCP.

Grâce à des exercices pratiques, vous maîtriserez les commandes clés de tshark, notamment -r pour la lecture de fichiers et -Y pour l'application de filtres. Le laboratoire met l'accent sur la comparaison des résultats filtrés et non filtrés pour améliorer vos compétences en résolution de problèmes réseau.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548939{{"Utiliser les filtres d'affichage dans Tshark"}} wireshark/packet_analysis -.-> lab-548939{{"Utiliser les filtres d'affichage dans Tshark"}} wireshark/commandline_usage -.-> lab-548939{{"Utiliser les filtres d'affichage dans Tshark"}} end

Lire un fichier avec -r tcp.pcap

Dans cette étape, vous apprendrez à lire un fichier de capture de paquets à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -r est l'une des commandes les plus fondamentales de tshark, vous permettant de spécifier un fichier de capture de paquets (PCAP) à analyser. Cela est similaire à l'ouverture d'un fichier dans l'interface graphique de Wireshark, mais réalisé via la ligne de commande.

Tout d'abord, nous devons nous rendre dans le répertoire contenant notre fichier de capture de paquets. Ouvrez un terminal et exécutez :
```
cd ~/project
```
Cette commande change votre répertoire de travail pour le dossier du projet où se trouve notre fichier de capture d'exemple.
L'environnement de laboratoire fournit un fichier de capture de paquets d'exemple nommé tcp.pcap. Vérifions qu'il existe avant de tenter de le lire :
```
ls -l tcp.pcap
```
Vous devriez voir une sortie similaire à :
```
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 tcp.pcap
```
Cela montre les permissions du fichier, le propriétaire, la taille et la date de modification - confirmant que le fichier est présent.
Maintenant, nous allons utiliser tshark pour lire et afficher le fichier de capture de paquets :
```
tshark -r tcp.pcap
```
Le drapeau -r indique à tshark de lire à partir du fichier spécifié plutôt que de capturer le trafic en direct. Cette commande affichera le contenu des paquets directement dans votre terminal.
La sortie affichera chaque paquet avec des informations de base sous forme de colonnes :
```
1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0
```
Chaque ligne représente un paquet réseau, montrant son numéro, l'horodatage, les adresses IP source/destination, le protocole (TCP ici) et les indicateurs TCP.
La sortie continuera de défiler à mesure que tshark affiche tous les paquets. Pour arrêter l'affichage et revenir à l'invite de commande, appuyez sur Ctrl+C. Cet interruption clavier termine en toute sécurité le processus tshark.

Filtrer par adresse IP source avec -Y "ip.src==192.168.1.1"

Dans cette étape, vous apprendrez à filtrer les paquets réseau par adresse IP source à l'aide de l'outil en ligne de commande tshark de Wireshark. L'option -Y est spécifiquement conçue pour les filtres d'affichage, qui vous aident à vous concentrer sur des modèles de trafic réseau particuliers sans modifier les données originales des paquets.

Tout d'abord, assurez-vous d'être dans le bon répertoire où se trouve votre fichier de capture de paquets. Cela est important car tshark doit savoir où trouver le fichier que vous souhaitez analyser :
```
cd ~/project
```
Maintenant, filtrons les paquets qui proviennent de l'adresse IP spécifique 192.168.1.1. Le drapeau -r spécifie le fichier d'entrée, tandis que -Y applique notre condition de filtre. La syntaxe du filtre ip.src==192.168.1.1 signifie "afficher uniquement les paquets dont l'adresse IP source est égale à 192.168.1.1" :
```
tshark -r tcp.pcap -Y "ip.src==192.168.1.1"
```
La commande affichera uniquement les paquets correspondant à nos critères de filtre. Remarquez comment chaque entrée montre l'adresse IP source (192.168.1.1) et l'adresse IP de destination, ainsi que d'autres détails de protocole :
```
1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
3 0.000456 192.168.1.1 → 192.168.1.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
```
Pour mieux comprendre l'effet du filtrage, comparez cette sortie avec les résultats non filtrés que vous avez vus précédemment. Cela montre comment les filtres d'affichage vous aident à isoler des modèles de trafic spécifiques à partir de grands fichiers de capture.
Une fois que vous avez terminé d'examiner la sortie filtrée, appuyez sur Ctrl+C pour arrêter l'affichage et revenir à l'invite de commande. Ce raccourci clavier fonctionne pour la plupart des outils en ligne de commande qui affichent des résultats continus.

Combiner des filtres avec -Y "ip.src==192.168.1.1 and tcp.port==80"

Dans cette étape, vous apprendrez à combiner plusieurs filtres dans l'outil en ligne de commande tshark de Wireshark pour analyser précisément le trafic réseau. L'option -Y (filtre d'affichage) vous permet d'utiliser des opérateurs logiques tels que and pour créer des conditions de filtrage complexes. Cela est particulièrement utile lorsque vous devez examiner le trafic qui répond à plusieurs critères simultanément.

Tout d'abord, accédez au répertoire du projet où se trouve votre fichier de capture de paquets. Cela garantit que tshark peut trouver le fichier que vous souhaitez analyser :
```
cd ~/project
```
Maintenant, filtrons les paquets qui répondent à deux conditions : ils doivent provenir de l'adresse IP 192.168.1.1 ET utiliser le port TCP 80 (généralement le trafic HTTP). L'opérateur and garantit que les deux conditions doivent être vraies pour qu'un paquet soit affiché :
```
tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80"
```
La sortie affichera uniquement les paquets qui répondent aux deux critères. Par exemple, vous pourriez voir des requêtes HTTP provenant de l'adresse IP spécifiée :
```
1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
5 0.001234 192.168.1.1 → 192.168.1.2 HTTP 145 GET /index.html HTTP/1.1
```
Remarquez comment ce filtre combiné vous donne des résultats plus ciblés que l'utilisation de filtres simples. Comparez cette sortie avec ce que vous avez vu lorsque vous avez filtré uniquement par adresse IP ou uniquement par port pour comprendre comment la combinaison de filtres vous aide à isoler des modèles de trafic spécifiques.
Une fois que vous avez terminé d'examiner la sortie, appuyez sur Ctrl+C pour revenir à l'invite de commande. Cette combinaison de touches arrête l'affichage des informations sur les paquets.

Vérifier la sortie avec -P

Dans cette étape, vous apprendrez à vérifier et à afficher les détails des paquets en utilisant l'option -P de Wireshark avec tshark. Le drapeau -P indique à tshark d'afficher les détails des paquets dans un format structuré et lisible par l'homme, plutôt que de simplement afficher des lignes de résumé. Cela est particulièrement utile lorsque vous devez examiner des champs spécifiques dans les paquets réseau.

Tout d'abord, assurez-vous d'être dans le bon répertoire où se trouve votre fichier de capture de paquets. Cela est important car tshark doit accéder au fichier pcap que nous allons analyser :
```
cd ~/project
```
Maintenant, nous allons utiliser tshark pour filtrer et afficher les paquets provenant de l'adresse IP 192.168.1.1 et communiquant sur le port TCP 80. La commande combine trois drapeaux importants :
- -r pour lire à partir de notre fichier de capture
- -Y pour appliquer notre filtre d'affichage
- -P pour afficher des informations détaillées sur les paquets
```
tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80" -P
```

L'option -P fournit une analyse hiérarchique du contenu de chaque paquet. Voici à quoi pourrait ressembler une sortie exemple, montrant différentes couches de protocole :

Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:11:22:33:44:55, Dst: 66:77:88:99:aa:bb
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
Transmission Control Protocol, Src Port: 80, Dst Port: 49234, Seq: 0, Ack: 0, Flags: SYN

Remarquez comment cette sortie montre plus de détails techniques que les commandes précédentes sans -P. Vous pouvez voir :
- Les informations de la couche physique (Ethernet)
- Les adresses de la couche réseau (IP)
- Les numéros de port et les indicateurs de la couche de transport (TCP)
Une fois que vous avez terminé d'examiner la sortie, vous pouvez arrêter l'affichage en appuyant sur Ctrl+C. Cette combinaison de touches fonctionne dans la plupart des terminaux Linux pour interrompre la commande en cours.

Résumé

Dans ce laboratoire, vous avez appris à appliquer efficacement des filtres d'affichage en utilisant l'outil en ligne de commande tshark de Wireshark pour l'analyse du trafic réseau. Vous avez pratiqué la lecture de fichiers PCAP avec -r, le filtrage par adresses IP et ports en utilisant -Y, et la combinaison de conditions avec des opérateurs logiques tels que and.

Les exercices ont démontré comment isoler des modèles de trafic spécifiques et vérifier les résultats avec -P, vous dotant ainsi des compétences essentielles pour une analyse ciblée des paquets. Ces techniques permettent de résoudre efficacement les problèmes en se concentrant sur les données réseau pertinentes.