Introduction
Dans ce laboratoire, vous apprendrez à effectuer une analyse en deux passes à l'aide de tshark, l'outil en ligne de commande de Wireshark, pour analyser le trafic réseau à partir d'un fichier PCAP. Vous allez pratiquer l'utilisation d'options clés telles que -r pour la lecture de fichiers, -2 pour le mode en deux passes et -V pour une sortie détaillée tout en examinant les paquets d'accusé de réception TCP avec des filtres d'affichage.
Les exercices vous guideront à travers les opérations de base à avancées de tshark, y compris la vérification de fichiers, l'amélioration de la dissection de protocole grâce à l'analyse en deux passes et l'interprétation des modèles de trafic réseau. Ces compétences pratiques vous aideront à effectuer une analyse réseau plus précise et efficace en utilisant les fonctionnalités puissantes de tshark.
Ouvrir le fichier avec -r capture.pcap
Dans cette étape, vous apprendrez à ouvrir et à examiner un fichier de capture de paquets à l'aide de l'outil en ligne de commande tshark de Wireshark. Cette compétence fondamentale est essentielle pour analyser le trafic réseau enregistré avant de passer à des techniques d'analyse plus avancées.
L'option -r est l'un des paramètres les plus fréquemment utilisés de tshark. Elle signifie "read" (lire en anglais) et indique à tshark de traiter les paquets à partir d'un fichier plutôt que de capturer le trafic réseau en direct. Nous allons travailler avec un fichier d'exemple nommé capture.pcap qui contient des données de communication réseau enregistrées.
Avant de commencer, comprenons ce avec quoi nous travaillons :
- Un fichier
.pcapest un format standard pour stocker les paquets réseau capturés. - Le fichier contient des données brutes de trafic réseau que nous allons analyser.
- L'utilisation d'un fichier de capture enregistré nous permet d'étudier le comportement du réseau sans avoir besoin de trafic en direct.
Suivez attentivement ces étapes :
- Tout d'abord, accédez au répertoire contenant notre fichier de capture :
cd ~/project
- Vérifiez que le fichier de capture existe et examinez ses propriétés :
ls -l capture.pcap
Vous devriez voir une sortie similaire à :
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcap
Cela confirme que le fichier existe et montre sa taille et ses autorisations.
- Maintenant, ouvrons et affichons le contenu du fichier de capture :
tshark -r capture.pcap
Cette commande lit le fichier et affiche un résumé de chaque paquet capturé dans votre terminal. Chaque ligne représente un paquet réseau, affichant des informations de base telles que l'horodatage, les adresses source/destination et le protocole.
Pour les débutants : Lorsque vous commencez l'analyse de paquets, il est souvent plus facile de travailler avec des fichiers de capture enregistrés que de gérer le trafic en direct. L'option -r nous donne cette possibilité. Dans les étapes suivantes, nous apprendrons à filtrer et à analyser des aspects spécifiques de ce trafic.
Activer l'analyse en deux passes avec -2
Dans cette étape, nous allons explorer comment utiliser tshark de Wireshark en mode d'analyse en deux passes en ajoutant l'option -2. Cette fonctionnalité puissante permet à tshark de traiter le fichier de capture deux fois, améliorant considérablement la précision de l'analyse des protocoles et les résultats des filtres d'affichage.
Pour ceux qui débutent dans l'analyse de paquets : Normalement, tshark lit les paquets séquentiellement une seule fois. Le mode en deux passes change cela de la manière suivante :
- Première passe : Parcourt rapidement tout le fichier pour établir les relations et les dépendances entre les protocoles.
- Deuxième passe : Analyse soigneusement chaque paquet avec le contexte complet obtenu lors de la première passe.
Vous voudrez utiliser le mode en deux passes lorsque :
- Vous travaillez avec des protocoles complexes où les paquets suivants expliquent les paquets précédents.
- Vous appliquez des filtres d'affichage sophistiqués qui nécessitent le contexte complet des paquets.
- Vous générez des statistiques et des résumés précis des protocoles.
Practiquons avec notre fichier de capture d'exemple :
- Tout d'abord, accédez au répertoire du projet (si vous continuez depuis les étapes précédentes) :
cd ~/project
- Exécutez maintenant tshark avec l'analyse en deux passes activée :
tshark -2 -r capture.pcap
Comprendre ce qui se passe : Le drapeau -2 active le processus de double balayage. Lors de la première passe, tshark note les détails importants des protocoles tels que les numéros de séquence TCP et les états de session. Lors de la deuxième passe, il utilise ces informations pour reconstruire correctement les conversations et appliquer les filtres avec précision. Cela est particulièrement précieux pour des protocoles comme TCP où les accusés de réception influencent la manière dont nous interprétons les paquets de données.
Filtrer les réponses avec -R "tcp.flags.ack==1"
Dans cette étape, nous allons explorer comment filtrer les paquets TCP ACK en utilisant les puissantes capacités de filtrage d'affichage de Wireshark. L'option -R dans Tshark nous permet d'appliquer ces filtres pour analyser le trafic réseau capturé. Cela est particulièrement utile lorsque vous souhaitez vous concentrer sur des types spécifiques de paquets, comme les accusés de réception TCP.
Les paquets TCP ACK jouent un rôle crucial dans la communication réseau. Chaque fois que votre ordinateur reçoit des données via une connexion TCP, il envoie de retour ces paquets d'accusé de réception pour confirmer la réception réussie. En les filtrant, nous pouvons étudier comment les systèmes confirment la livraison des données.
Parcourons le processus étape par étape :
- Tout d'abord, nous devons accéder au répertoire de travail où se trouve le fichier de capture :
cd ~/project
- Maintenant, nous allons utiliser Tshark avec l'option d'analyse en deux passes (
-2) et appliquer notre filtre ACK :
tshark -2 -r capture.pcap -R "tcp.flags.ack==1"
Décortiquons ce qui se passe dans cette commande :
-2active l'analyse en deux passes pour obtenir des résultats plus précis.-r capture.pcapspécifie notre fichier de capture d'entrée.-R "tcp.flags.ack==1"applique notre filtre d'affichage pour les paquets ACK.
Points clés à comprendre :
- L'option
-Rindique à Tshark de n'afficher que les paquets correspondant à nos critères de filtre. tcp.flags.ack==1correspond précisément aux paquets où le drapeau ACK TCP est défini sur 1 (vrai).- Les accusés de réception TCP sont un comportement normal du protocole - ils n'indiquent pas nécessairement des problèmes.
- L'analyse en deux passes (
-2) contribue à garantir une dissection et un filtrage précis des protocoles.
Après avoir exécuté la commande, vous verrez une sortie ne contenant que les paquets TCP avec le drapeau ACK activé. Une ligne typique ressemble à ceci :
1 0.000000 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
Cela montre le numéro de paquet, l'horodatage, les adresses IP source/destination, les ports et les informations spécifiques à TCP, y compris le drapeau [ACK] que nous avons filtré.
Afficher les résultats avec -V
Dans cette étape, nous allons explorer comment afficher les détails complets des paquets en utilisant l'option -V (mode verbeux) de Wireshark. Lors de l'analyse du trafic réseau, il est essentiel de comprendre la structure complète des paquets. Le drapeau -V permet d'afficher la hiérarchie complète des protocoles et toutes les valeurs des champs, ce qui est particulièrement utile lors de l'examen des paquets TCP ACK issus de notre filtrage précédent.
La sortie verbeuse (-V) révèle trois aspects clés de chaque paquet :
- Une décomposition complète des protocoles montrant comment les différentes couches s'encapsulent les unes dans les autres.
- Toutes les valeurs des champs au sein de ces protocoles, y compris les détails techniques souvent masqués dans les vues par défaut.
- Une organisation hiérarchique claire qui reflète la manière dont les protocoles s'empilent dans la communication réseau.
Exécutons cela étape par étape :
- Tout d'abord, accédez au répertoire de travail où se trouve le fichier de capture. Cela garantit que nous pouvons accéder aux données de capture de paquets :
cd ~/project
- Exécutez maintenant la commande avec une sortie verbeuse pour nos paquets ACK filtrés. Remarquez que nous combinons l'analyse en deux passes (
-2) avec notre filtre précédent (-R) et ajoutons-V:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1" -V
Pour ceux qui débutent dans l'analyse de paquets :
- L'option
-Vactive le mode "verbeux", comme passer de la table des matières d'un livre à la lecture des chapitres complets. - Contrairement à la vue par défaut qui affiche des résumés de paquets de base, le mode verbeux révèle tous les détails techniques.
- La sortie organise les informations par couches de protocole (Ethernet → IP → TCP, etc.), exactement comme les paquets sont structurés.
- Vous verrez les valeurs spécifiques de chaque champ de protocole, ce qui vous aidera à comprendre précisément ce qui se passe dans l'échange réseau.
Voici ce à quoi vous pouvez vous attendre dans la sortie (exemple simplifié) :
Frame 1: 54 bytes on wire...
Ethernet II, Src: aa:bb:cc:dd:ee:ff...
Internet Protocol Version 4, Src: 192.168.1.1...
Transmission Control Protocol, Src Port: 443...
[ACK] Seq=1 Ack=1 Win=64240 Len=0
[TCP Flags: ·······A····]
Résumé
Dans ce laboratoire, vous avez appris à effectuer une analyse de paquets en deux passes en utilisant l'outil en ligne de commande tshark de Wireshark. Le processus consistait à lire les paquets à partir d'un fichier de capture (capture.pcap) en utilisant l'option -r et à vérifier son emplacement avant l'analyse.
Vous avez exploré le mode en deux passes activé par l'option -2, qui améliore la précision de l'analyse des protocoles en analysant les paquets deux fois. Cette technique s'avère particulièrement utile pour les filtres complexes et les protocoles nécessitant des informations contextuelles provenant de paquets suivants.


