Comment capturer du trafic avec Wireshark et l'analyser pour détecter des anomalies

Wireshark est l'analyseur de paquets le plus connu et le plus utilisé au monde. Grâce à ce programme, nous pourrons capturer et analyser en détail tout le trafic réseau qui entre et sort de notre PC, de plus, nous devons nous rappeler qu'il est multiplateforme, cela signifie qu'il est disponible pour Windows, Linux/Unix, macOS, Solaris, FreeBSD, NetBSD et autres. Aujourd'hui, dans cet article, nous allons vous apprendre de manière basique, comment effectuer une capture de trafic et comment analyser le trafic réseau pour voir s'il existe un type d'anomalie.

Caractéristiques principales de Wireshark

Ce programme, entièrement gratuit, nous permet d'effectuer une inspection approfondie de centaines de protocoles, car il prend en charge les protocoles de couche physique, de liaison, de protocole réseau, de couche transport et également de couche application. Cela nous permettra de capturer en temps réel, et lorsque nous aurons fini de capturer tous les paquets qui entrent et sortent de notre carte réseau filaire ou sans fil, nous pouvons effectuer une analyse approfondie hors ligne, c'est-à-dire sur un autre ordinateur (ou en la même chose) et à tout moment.

Comment capturer du trafic avec Wireshark

Wireshark permet de voir tout le trafic capturé via l'interface graphique avec le programme lui-même, cependant, nous pouvons également voir toutes les informations capturées avec le programme TShark, un outil qui fonctionne via la console et nous permettra de tout lire via la ligne de commande CLI, pour tout voir via SSH, par exemple. Une caractéristique fondamentale de tout analyseur de paquets est les filtres, de sorte qu'il ne montre que ce que nous voulons qu'il nous montre, et plus d'informations qui généreraient du travail supplémentaire pour nous.

Wireshark est capable de lire et d'écrire dans différents formats de capture, tels que tcpdump (libpcap), pcap ng et de nombreuses autres extensions, pour s'adapter parfaitement à différents programmes pour une analyse plus approfondie. Un autre aspect important est que la capture capturée peut être compressée avec GZIP à la volée, et bien sûr, la décompresser à la volée également au cas où nous lirions la capture. Bien sûr, il est capable de lire les données de différentes technologies de réseau telles que Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI et autres. Aujourd'hui, nous avons de nombreux protocoles avec des données cryptées, avec la clé privée appropriée, Wireshark est capable de décrypter le trafic de différents protocoles tels que IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP et WPA / WPA2.

Une fois que nous avons vu les principales fonctionnalités, nous allons le télécharger et l'installer.

Téléchargez et installez

Ce programme est entièrement gratuit, nous pouvons accéder directement au site officiel de Wireshark où vous pouvez trouver les liens à télécharger. L'installation de ce programme est très simple, il suffit de suivre pas à pas l'assistant d'installation et de redémarrer l'ordinateur une fois terminé. Wireshark est un programme constamment mis à jour, il est donc fortement recommandé de toujours installer la dernière version sur notre ordinateur pour profiter des dernières nouvelles.

Si vous avez un système d'exploitation basé sur Linux, il est très probable que dans votre gestionnaire de paquets vous ayez Wireshark, et vous n'avez qu'à exécuter une commande comme celle-ci:

sudo apt install wireshark

Une fois que nous avons vu comment télécharger et installer Wireshark, nous allons l'utiliser pour capturer des données.

Faites une capture de trafic avec Wireshark dans Windows 10

Nous avons utilisé le système d'exploitation Windows 10 pour effectuer la capture du trafic, mais sur les systèmes Linux ou macOS, c'est exactement la même chose, car nous avons exactement la même interface utilisateur graphique. La première chose que nous verrons au démarrage de ce programme sont toutes les cartes réseau et interfaces réseau de notre ordinateur, dans notre cas, nous avons un total de trois cartes réseau filaires (ASUS XG-C100C, Realtek2.5G et Intel 1G), réseau Wi-Fi à une carte (WiFi 2), de plus, nous avons différentes interfaces de réseau virtuel qui correspondent aux interfaces VMware et Virtual Box.

Wireshark nous permet de capturer le trafic de n'importe quelle carte réseau, qu'elle soit physique ou virtuelle, nous devons simplement savoir clairement quelle carte réseau est actuellement utilisée et à partir de laquelle nous voulons capturer le trafic réseau. Dans notre cas, il s'agit de l'ASUS XG-C100C, il nous suffit donc de double-cliquer sur cette carte.

Un double-clic commencera automatiquement à capturer tout le trafic réseau, entrant et sortant. Quelques recommandations AVANT d'effectuer une capture de trafic sont les suivantes:

  • Fermez tous les programmes qui génèrent du trafic réseau que nous ne voulons pas capturer
  • Assurez-vous que le pare-feu est désactivé, car il pourrait bloquer un certain trafic et il n'apparaîtra pas dans Wireshark, ou seule une partie du trafic généré apparaîtra.
  • Si nous voulons capturer du trafic de données généré par une application, il est recommandé d'attendre 1 seconde avant de la démarrer et de capturer le trafic réseau de l'ordinateur, puis nous exécutons cette application, et enfin, nous fermons l'application et attendons 1 seconde avant arrêtez de capturer le trafic.

Avec ces recommandations, nous sommes sûrs que la capture de trafic que vous réaliserez sera un succès.

Dans cette capture de trafic, vous pouvez voir le trafic provenant de différents protocoles, à la fois le trafic provenant du protocole Spanning Tree du réseau, ainsi que le trafic TCP et le trafic TLSv1.2 provenant de différentes applications que nous avons ouvertes.

Avec chaque entrée de données, nous serons en mesure d'afficher et de voir en détail l'ensemble des données, à la fois au niveau de l'application, du transport, au niveau du réseau, de la liaison et également au niveau physique, c'est-à-dire que Wireshark nous fournira des informations par couches, pour trouver plus facilement les informations dont nous avons besoin.

Bien sûr, il nous indiquera également quels sont les ports source et de destination si nous utilisons TCP ou UDP, et nous pouvons même voir à l'avance les numéros de séquence, et s'il y a eu un RST dans la connexion ou si un segment devait être transmis en raison d'un problème.

Dans la capture d'écran suivante, vous pouvez voir le résultat de l'exécution de la commande «nslookup www.redeszone.net» via la console, faites le DNS demande à notre serveur DNS, et il répondra automatiquement avec la résolution DNS effectuée à partir du domaine précédent. Bien sûr, ce trafic est «mélangé» avec d'autres trafics que nous avons sur notre ordinateur à partir de différentes applications, c'est pourquoi il est si important de fermer toutes les applications qui utilisent la connectivité Internet avant de commencer à capturer le trafic.

Ici, vous pouvez voir la réponse du serveur DNS à la demande DNS précédente:

Si nous faisons le ping typique, en utilisant le protocole ICMP, il nous montrera également parfaitement, il nous montrera à la fois la «demande d'écho» et également la «réponse d'écho».

Comme vous l'avez vu, il est très facile de capturer des données avec Wireshark pour analyser tout le trafic réseau. Si nous voulons enregistrer cette capture, il suffit de cliquer sur le bouton rouge "Stop" pour arrêter la capture des données, puis de cliquer sur "Fichier / Enregistrer" pour l'enregistrer.

Cette capture peut être enregistrée sur notre ordinateur ou sur un support externe pour une analyse ultérieure, ou envoyée à un expert capable de détecter le problème, mais vous devez garder à l'esprit qu'il aura accès à tout le trafic capturé, vous devez donc envoyez cette capture à quelqu'un en qui vous avez confiance. Si nous avons capturé du trafic avec TLS ou IPsec, vous aurez besoin de la clé de déchiffrement correspondante, vous ne pouvez donc pas la «lire» sans ces informations, il en va de même pour le trafic WPA / WPA2, sans la clé, vous ne pouvez pas lire le trafic interne.

Nous espérons que ce tutoriel vous aidera à capturer le trafic de données avec ce grand programme, et vous serez en mesure de détecter les problèmes sur le réseau.