Wireshark est un analyseur de paquets réseau. Il capture chaque paquet entrant ou sortant d'une interface réseau et les montre dans un texte bien formaté. Il est utilisé par les ingénieurs de réseau du monde entier.

Wireshark est transformable et il est disponible pour Linux, Windows et Mac OS. Vous obtenez la même expérience utilisateur dans tout système d'exploitation que vous utilisez.

Pour en savoir plus sur Wireshark, visitez le site officiel de Wireshark sur https: // www.Wireshark.org

Dans cet article, je vais vous montrer comment installer Wireshark sur Ubuntu et comment l'utiliser. J'utilise Ubuntu 18.04 LTS pour la démonstration. Mais cela devrait fonctionner sur n'importe quelle version LTS d'Ubuntu toujours soutenue au moment de la rédaction de cet article. Commençons.

Installation de Wireshark:

Wireshark est disponible dans le référentiel officiel de package d'Ubuntu 14.04 LTS et plus tard. Donc c'est vraiment facile à installer.

Mettez d'abord à jour le cache du référentiel de package APT avec la commande suivante:

$ sudo apt mise à jour

Le cache du référentiel de package APT doit être mis à jour.

Maintenant, exécutez la commande suivante pour installer Wireshark sur votre machine Ubuntu:

$ sudo apt installer wireshark

Maintenant, appuyez sur y Et puis appuyez sur .

Par défaut, Wireshark doit être démarré comme racine (peut également être fait avec Sudo) privilèges pour travailler. Si vous souhaitez exécuter Wireshark sans racine privilèges ou sans Sudo, puis sélectionnez et presser .

Wireshark doit être installé.

Maintenant si vous avez sélectionné Dans la section précédente pour exécuter Wireshark sans accès root, puis exécutez la commande suivante pour ajouter votre utilisateur à la Wireshark groupe:

$ sudo usermod -ag wireshark $ (whoami)

Enfin, redémarrez votre ordinateur avec la commande suivante:

$ sudo redémarrer

Démarrage de Wireshark:

Maintenant que Wireshark est installé, vous pouvez démarrer Wireshark à partir du Menu d'application d'Ubuntu.

Vous pouvez également exécuter la commande suivante pour démarrer Wireshark à partir du terminal:

$ wireshark

Si vous n'avez pas permis à Wireshark de fonctionner sans racine privilèges ou Sudo, alors la commande doit être:

$ sudo wireshark

Wireshark devrait commencer.

Capturation de paquets à l'aide de Wireshark:

Lorsque vous démarrez Wireshark, vous verrez une liste d'interfaces que vous pouvez capturer des paquets vers et depuis.

Il existe de nombreux types d'interfaces que vous pouvez surveiller à l'aide de Wireshark, par exemple, Câblé, Sans fil, USB et de nombreux appareils externes. Vous pouvez choisir d'afficher des types spécifiques d'interfaces dans l'écran de bienvenue à partir de la section marquée de la capture d'écran ci-dessous.

Ici, je n'ai répertorié que le Câblé Interfaces réseau.

Maintenant, pour commencer à capturer des paquets, sélectionnez simplement l'interface (dans mon interface de cas ENS33) et cliquez sur le Commencez à capturer des paquets icône comme marqué dans la capture d'écran ci-dessous. Vous pouvez également double-cliquer sur l'interface que vous souhaitez capturer des paquets vers et depuis pour commencer à capturer des paquets sur cette interface particulière.

Vous pouvez également capturer des paquets vers et depuis plusieurs interfaces en même temps. Appuyez sur et maintenez et cliquez sur les interfaces que vous souhaitez capturer des paquets vers et depuis, puis cliquez sur le Commencez à capturer des paquets icône comme marqué dans la capture d'écran ci-dessous.

Utilisation de Wireshark sur Ubuntu:

Je capture des paquets sur le ENS33 Interface réseau filaire comme vous pouvez le voir dans la capture d'écran ci-dessous. En ce moment, je n'ai pas de paquets capturés.

Je ping google.com du terminal et comme vous pouvez le voir, de nombreux paquets ont été capturés.

Vous pouvez maintenant cliquer sur un paquet pour le sélectionner. La sélection d'un paquet afficherait de nombreuses informations sur ce paquet. Comme vous pouvez le voir, des informations sur les différentes couches de protocole TCP / IP sont répertoriées.

Vous pouvez également voir les données brutes de ce paquet particulier.

Vous pouvez également cliquer sur les flèches pour étendre les données de paquets pour une couche de protocole TCP / IP particulière.

Filtrage des paquets à l'aide de Wireshark:

Sur un réseau occupé, des milliers ou des millions de paquets seront capturés chaque seconde. La liste sera donc si longue qu'il sera presque impossible de faire défiler la liste et de rechercher un certain type de paquet.

La bonne chose est que, dans Wireshark, vous pouvez filtrer les paquets et ne voir que les paquets dont vous avez besoin.

Pour filtrer les paquets, vous pouvez saisir directement l'expression du filtre dans la zone de texte comme marqué dans la capture d'écran ci-dessous.

Vous pouvez également filtrer les paquets capturés par Wireshark graphiquement. Pour ce faire, cliquez sur le Expression… bouton comme marqué dans la capture d'écran ci-dessous.

Une nouvelle fenêtre doit s'ouvrir comme indiqué dans la capture d'écran ci-dessous. De là, vous pouvez créer une expression de filtre pour rechercher des paquets très spécifiquement.

Dans le Nom de domaine Section Presque tous les protocoles de réseautage sont répertoriés. La liste est énorme. Vous pouvez saisir le protocole que vous recherchez dans le Recherche la zone de texte et le Nom de domaine La section montrerait celles qui correspondent.

Dans cet article, je vais filtrer tous les paquets DNS. Alors j'ai sélectionné DNS Système de noms de domaines du Nom de domaine liste. Vous pouvez également cliquer sur le flèche sur n'importe quel protocole

Et rendre votre sélection plus spécifique.

Vous pouvez également utiliser des opérateurs relationnels pour tester si un champ est égal à, pas égal, grand ou inférieur à une valeur. J'ai cherché tous les DNS IPv4 adresse qui est égale à 192.168.2.1 Comme vous pouvez le voir dans la capture d'écran ci-dessous.

L'expression du filtre est également indiquée dans la section marquée de la capture d'écran ci-dessous. C'est un excellent moyen d'apprendre à écrire l'expression du filtre dans Wireshark.

Une fois que vous avez terminé, cliquez simplement sur D'ACCORD.

Maintenant, cliquez sur l'icône marquée pour appliquer le filtre.

Comme vous pouvez le voir, seuls les paquets de protocole DNS sont affichés.

Arrêt de la capture de paquets à Wireshark:

Vous pouvez cliquer sur l'icône rouge comme marqué dans la capture d'écran ci-dessous pour arrêter de capturer les paquets Wireshark.

Enregistrement des paquets capturés dans un fichier:

Vous pouvez cliquer sur l'icône marquée pour enregistrer les paquets capturés dans un fichier pour une utilisation future.

Sélectionnez maintenant un dossier de destination, saisissez le nom du fichier et cliquez sur Sauvegarder.

Le fichier doit être enregistré.

Vous pouvez maintenant ouvrir et analyser les paquets enregistrés à tout moment. Pour ouvrir le fichier, allez à Déposer > Ouvrir de Wireshark ou appuyez sur + o

Puis sélectionnez le fichier et cliquez sur Ouvrir.

Les paquets capturés doivent être chargés à partir du fichier.

C'est ainsi que vous installez et utilisez Wireshark sur Ubuntu. Merci d'avoir lu cet article.