Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Etude de Wireshark

Télécharger au format pptx, pdf ou txt
Télécharger au format pptx, pdf ou txt
Vous êtes sur la page 1sur 32

ANALYSE RÉSEAU AVEC

WIRESHARK
MEMBRES DU GROUPE:
• TAMENO PATRICE
• KAMDEM T. NICANOR
• NOTALA FOTSO
• DJOUMEU PURSIE
PLAN DE TRAVAIL:

 INTRODUCTION

I. GENERALITES SUR WIRESHARK

II. FONCTIONNEMENT DE WIRESHARK

III. FILTRES WIRESHARK

IV. AUTRES FONCTIONNALITES DE WIRESHARK

V. NAISSANCE DE LA TRAME

 CONCLUSION
INTRODUCTION :

L'analyseur de trafic réseau est un outil pédagogique essentiel pour comprendre les
mécanismes de fonctionnement des protocoles de communication sur les réseaux
informatiques. Wireshark est donc un analyseur de paquets réseau. Dans le temps ces
outils étaient soit très couteux, exclusifs, soit les deux. Cependant avec l’avènement de
Wireshark cela a changé. Il est disponible gratuitement et est open source et est l’un des
meilleur analyseur de paquet aujourd’hui.
I. GENERALITES SUR WIRESHARK

1. Historique :

Wireshark est un analyseur de paquets open source (GNU) populaire avec la Licence
GNU GPL. Ses “dissectors” ou décodeurs de protocoles permettent d’interpréter le
trafic du réseau.
Conçu en 1997-1998 par Gerald Combs sous le nom historique de “Ethereal”, il est
repris en 2006 sous le nom moderne de “Wireshark”. En 2008, Wireshark sort en
version 1.0 et en 2015 en version 2.0 avec une nouvelle interface graphique.
2. Fonctionnalités de Wireshark
 Disponibles pour les systèmes UNIX et Windows.
 Capturer les paquets de données en “live” qui passent en live sur les
interfaces à partir de n’importe quel type de supports : Ethernet, Wi-Fi,
Bluetooth, Frame-Relay, HDLC, USB.
 Enregistrer des paquets de données capturés.
 Importer des paquets venant de fichiers texte contenant les charges en
hexa de paquets de données.
 Exporter certains ou tous les paquets capturés dans différents formats.
 Ouvrir des fichiers de captures de paquets réalisés avec bien d’autres
programmes.
3. Prérequis système

La quantité de ressources requise par Wireshark dépend de votre environnement et de la


taille du fichier de capture que vous analysez. Les fichiers de capture plus importants
nécessiteront plus de mémoire et d’espace disque.

Les réseaux occupés signifient de grandes captures. En effet, Travailler avec un réseau


occupé peut facilement produire d’énormes fichiers de capture. La capture sur un réseau
gigabit ou même 100 mégabits peut produire des centaines de mégaoctets de données de
capture en peu de temps.
4. Comment télécharger Wireshark ?

Le téléchargement et l’installation de Wireshark sont assez simple :

 Sur Windows :
consulter la page officielle de téléchargement (https://www.wireshark.org/download.html)
, on note ici que Wireshark est disponible en version 32 bits et 64 bits, il faut donc choisir la version qui correspond à
votre système.
 Sur Linux:

L’installation de Wireshark sous Linux varie légèrement selon les distributions. Sous Ubuntu par
exemple, exécutez les commandes suivantes depuis le terminal :

• pour télécharger le paquet :

• Pour mettre à jour le paquet :


II. FONCTIONNEMENT DE WIRESHARK

1. Comment fonctionne Wireshark ?


• Wireshark est un outil de capture et d’analyse de paquets. Il
capture le trafic du réseau local et stocke les données ainsi
obtenues pour permettre leur analyse hors ligne. Wireshark
est capable de capturer le trafic Ethernet, Bluetooth, sans fil
(IEEE.802.11), Token Ring, Frame Relay et plus encore.

• Wireshark vous permet de filtrer le journal avant le début de


la capture ou pendant l’analyse. Il vous est ainsi possible
d’éliminer le bruit pour trouver exactement ce que vous
recherchez dans la trace réseau.

• La liste des protocoles supportés par Wireshark est


considérable. Elle évolue avec chaque nouvelle version.
2. Capture des paquets de données avec Wireshark

Lorsque vous ouvrez Wireshark, un écran vous présente la liste de toutes les connexions réseau
que vous pouvez surveiller. Vous disposez également d’un champ de filtre de capture vous
permettant de capturer uniquement le trafic réseau qui vous intéresse.
• Pour démarrer la capture de paquet,

• Ou encore, vous pouvez sélectionner l’option capture -> Démarrer


• La capture se présente comme ci-dessous:

Une fois que vous avez capturé tous les paquets dont vous avez besoin, utilisez les mêmes boutons
ou options de menu pour mettre un terme à l’opération. Il est recommandé d’interrompre la
capture de paquets avant de procéder à l’analyse.
2.1. Inspection de paquet de données avec wireshark

Wireshark propose trois panneaux permettant d’inspecter les données des paquets. Voici
quelques informations sur chacune des colonnes du panneau supérieur :

 No. : numéro du paquet capturé. Le trait vertical indique que ce paquet fait partie d’une
conversation.
 Time : cette colonne indique combien de temps après le lancement de la capture le paquet a
été capturé.
 Source : adresse du système qui a émis le paquet.
 Destination : adresse de la destination du paquet.
 Protocole : type du paquet. Par exemple : TCP, DNS, DHCPv6 ou ARP.
 Length : cette colonne indique la longueur du paquet, en octets.
 Info : cette colonne présente plus d’informations sur le contenu du paquet et varie selon le
type du paquet.
Le panneau central, intitulé Packet Détails, présente autant d’informations lisibles sur le paquet que
possible, en fonction du type de paquet. Vous pouvez effectuer un clic droit et créer des filtres basés sur le
texte en surbrillance dans ce champ.

Le panneau inférieur, Packet Bytes, présente le paquet exactement tel qu’il a été capturé, sous sa forme
hexadécimale.
III. FILTRES WIRESHARK

On distingue deux (02) grands filtres :

 Filtres de capture :
Les filtres de capture restreignent les paquets capturés par Wireshark. Cela signifie que les
paquets ne répondant pas aux critères du filtre ne sont pas enregistrés.
 La syntaxe de mise en place d’un filtre de capture est la suivante:

 Exemple de mise en place :


 Il existe 04 opérateurs logiques:

 Snmp || dns ||icmp

 Ip.addr == 192.168.2.1

 Ip.src_host != 192.168.2.1

 Ip.src_host != 192.168.2.1 && ip.dst_host != 192.168.3.1


 Il existe également 10 opérateurs comparaison:
 Filtre d’affichage:

Les filtres d’affichage Wireshark modifient la vue de la capture pendant l’analyse. Une fois


que vous avez interrompu la capture de paquets, vous pouvez utiliser des filtres d’affichage
pour affiner la liste de paquets afin de résoudre plus facilement votre problème.
 La syntaxe de mise en place manuel du filtre d’affichage est la suivante:

 Exemple de mise en place :


IV. AUTRES FONCTIONNALITES DE
WIRESHARK

1. Options de colorisation

Une fois votre capture réseau faite, il suffit


d'aller dans le panneau menu "View" puis
dans "Coloring Rules" pour afficher les
règles de couleurs affectées à votre capture
de paquets :
La fenêtre qui s’affiche se présente comme suivant :
Par exemple, un paquet qui
apparaîtra en jaune pâle sera
un paquet qui matchera avec
le filtre "ARP", un filtre
présent par défaut
dans Wireshark qui met en
avant les paquets utilisant
le protocole ARP. Les
paquets apparaissant en rouge
avec une écriture blanche
concernent en revanche des
problèmes de TTL, les
paquets rouges avec une
écriture jaune les TCP avec le
flag RST à 1 ou les SCTP
ABORT, etc.
2. Mode Promiscuous de Wireshark
Par défaut, Wireshark ne capture que les paquets envoyés et reçus par l’ordinateur
sur lequel il est exécuté. En cochant la case Promiscuous Mode dans les
paramètres de capture, vous pouvez capturer la plupart du trafic intervenant sur le
réseau local.

3. Ligne de commande de Wireshark


Wireshark propose une interface en ligne de commande bien utile si votre système
ne dispose d’aucune interface graphique. Il est recommandé d’utiliser la ligne de
commande pour capturer les paquets et d’enregistrer un journal de sorte à pouvoir
l’analyser avec l’interface graphique.
4. Commandes de Wireshark
 Wireshark : exécute Wireshark avec l’interface graphique

 Wireshark –h : affiche les paramètres de ligne de commande disponibles


pour Wireshark

 Wireshark –a duration:300 –i eth1 –w wireshark. : capture le trafic


passant par l’interface Ethernet 1 pendant 5 minutes. –a permet d’arrêter
automatiquement la capture et -i spécifie l’interface de capture
5. Indicateurs et statistiques
Vous trouverez sous l’option de menu Statistiques de nombreuses options permettant
d’afficher des détails sur votre capture.
Les propriétés de notre fichier de capture se présente comme suivant :
 Graphs de la capture
V. NAISSANCE DE LA TRAME

1. Encapsulation
Le processus d’encapsulation est illustré comme ci-desssous
2. Particularité de la couche 2 lors de l’encapsulation

En recevant la donnée concaténée aux entêtes des couches supérieures, la couche liaison
de données concatène à son tour son entête et ajoute un champ en bout de message appelé
FCS-Frame Check Sequence qui est un vérificateur d’intégrité de la trame.
 TCP/IP encapsulation des données

Exemple: envoie d’un e-mail


2. Désencapsulation

C’est tout simplement l’inverse du processus d’encapsulation, cela se produit lorsqu’une


transmission entrante (à recevoir par l’ordinateur de destination) est décompressée
lorsqu’elle monte dans la pile de protocole.
CONCLUSION :

Parvenue au terme final de notre analyse, il est important de rappeler que nous avons
étudier le logiciel wireshark dans son ensemble ainsi que fait une analyse pratique de
celui-ci. Il en ressort que le logiciel wireshark représente un avantage majeur dans
l’analyse des réseaux informatiques du fait de sa capacité à communiquer une quantité
impressionnante d’informations en tout genre sur tout ce qui transite sur le réseau
notamment a l’aide de l’outil d’analyse et de détection des différents protocoles
utilisées pour la transmission de paquet sur le réseau

Vous aimerez peut-être aussi