Wireshark est l’un des meilleurs analyseurs de paquets réseau GUI open source disponibles aujourd’hui. Il est utilisé pour capturer les paquets réseau et afficher les détails des données des paquets. Wireshark et tcpdump utilisent libpcap pour obtenir des données réseau en direct. Il est souvent plus facile de capturer des paquets à l’aide de la commande tcpdump et de les afficher à l’aide de Wireshark. Ceci est utile pour dépanner le réseau ou les problèmes de sécurité du réseau et pour déboguer les implémentations de protocole.
Dans ce tutoriel, nous allons passer par l’installation de Wireshark sur Ubuntu 16.04, CentOS 7 et Arch Linux.
Installation sur Ubuntu 16.04
Avant de commencer l’installation, rencontrons les dépendances:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Une fois que toutes les dépendances ont été installées, nous exécutons ce qui suit dans le terminal.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Pendant l’installation, si on vous demande si les non-superutilisateurs être en mesure de capturer des paquets. Appuyez sur la touche fléchée gauche de votre clavier pour sélectionner <Yes> et appuyez sur Entrée.
Vous pouvez le lancer à partir de dash ou taper la commande:
$ wireshark
Installation sur CentOS 7
Nous allons installer Wireshark sur CentOS 7 en utilisant yum. Dans le terminal, tapez les commandes suivantes :
Lancez-le depuis le lanceur ou tapez la commande suivante dans la ligne de commande :
$ wireshark
Installation sur Arch Linux
Dans le terminal, tapez les commandes suivantes :
$ sudo pacman -S wireshark-qt
ou si vous préférez l’interface GTK+, utilisez cette commande:
$ sudo pacman -S wireshark-gtk
Installation à partir de la source
L’installation à partir de la source vous demandera de compiler le code source. Une fois les conditions requises remplies, exécutez les commandes suivantes dans le terminal pour installer le code source.
Tshark
TShark est un outil en ligne de commande qui est livré avec Wireshark pour capturer le trafic en direct ainsi que pour lire et analyser les fichiers de capture. Sans aucune option définie, TShark fonctionnera à peu près comme tcpdump. Il utilisera la bibliothèque pcap pour capturer le trafic de la première interface réseau disponible et affiche une ligne de résumé sur stdout pour chaque paquet reçu.
Tshark est automatiquement sur CentOS 7 lorsque vous installez wireshark. Sur Ubuntu, vous pouvez l’installer avec la commande:
$ sudo apt install tshark
Utilisation de Tshark
Si vous voulez capturer les paquets provenant de/ allant vers le port UDP 1812 sur eth0, vous pouvez utiliser la commande tshark comme suit:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
Le drapeau -f est utilisé pour spécifier un filtre de capture réseau (plus sur les filtres plus tard). Les paquets qui ne vérifient pas la condition suivant le drapeau -f ne seront pas capturés. Dans cet exemple, seuls les paquets IP en provenance ou à destination du port UDP 1812 sont capturés.
Le drapeau -i est utilisé pour spécifier l’interface à partir de laquelle nous nous attendons à voir les paquets RADIUS. Remplacez ‘eth0’ par le nom de votre interface, quel qu’il soit.
Le drapeau -w est utilisé pour spécifier un fichier dans lequel le trafic capturé sera enregistré pour un traitement ultérieur.
Si vous obtenez une erreur ‘Permission refusée’ lorsque vous exécutez wireshark en tant qu’utilisateur local, vous pouvez le démarrer avec les privilèges de root ou ajouter le compte utilisateur au groupe wireshark en utilisant la commande suivante :
$ sudo usermod -a -G wireshark username
Conclusion
.