Wireshark est un analyseur de paquets qui permet de configurer le périphérique réseau en mode promiscueux pour voir tout le trafic dans le réseau ou entre une source et une destination spécifiques. Wireshark peut être utilisé pour le dépannage, la détection d'anomalies dans les paquets de trafic, les objectifs de piratage et le développement du protocole. Il est disponible pour Linux, Unix, Mac et Windows.
De plus, au processus d'installation, ce document explique également comment démarrer avec Wireshark pour capturer le trafic pertinent comme les mots de passe.
Toutes les étapes affichées dans ce tutoriel incluent des captures d'écran, ce qui permet à tous les utilisateurs de Debian / Ubuntu de les suivre facilement."
Installation de Wireshark sur Debian 11
L'installation de Wireshark dans Debian et ses distributions Linux est assez facile avec le gestionnaire de packages APT.
Avant de l'installer, mettez à jour le référentiel des packages en exécutant la commande suivante.
Mise à jour Sudo Apt
Après la mise à jour des référentiels, installez Wireshark en exécutant la commande ci-dessous.
sudo apt install wireshark -y
Pendant le processus d'installation, il vous sera demandé si Wireshark peut être exécuté en tant qu'utilisateur non privilégié ou seulement comme un racine. Si vous êtes le seul à utiliser votre ordinateur, vous pouvez appuyer Oui; Sinon, il est recommandé de presser Non.
Si vous avez sélectionné l'option Non, Ensuite, vous devez exécuter Wireshark avec les privilèges comme indiqué ci-dessous. Si vous avez sélectionné Oui, Ensuite, vous pouvez ouvrir Wireshark à partir de l'environnement graphique comme indiqué dans la capture d'écran suivante.
Si un accès utilisateur sans privilégié était autorisé, vous pouvez également ouvrir Wireshark à partir de l'environnement graphique sous Internet.
Les utilisateurs improvisés avec accès peuvent également exécuter Wireshark à partir de la ligne de commande.
L'interface utilisateur de Wireshark
Dans l'écran initial de Wireshark, vous devez sélectionner l'interface réseau dont vous souhaitez analyser le trafic. Vous pouvez également sélectionner N'importe quel Pour écouter tous les appareils réseau. Dans mon cas, je choisirai mon interface réseau sans fil, wlp3s0.
Une fois que vous avez sélectionné votre périphérique réseau, double-cliquez dessus ou appuyez sur l'icône de la nageoire située dans le coin supérieur gauche ci-dessous Déposer.
Après avoir appuyé sur le périphérique réseau ou l'icône FIN, Wireshark commencera à écouter le trafic.
L'interface utilisateur de Wireshark peut être divisée en 6 sections: Menu, Barre d'outils, Barre d'outils, Liste de paquets, Détail de paquetssable Octets de paquets.
Les flèches de la capture d'écran ci-dessous affichent la liste des paquets (section supérieure), les détails des paquets (section centrale) et la section des octets de paquets (section inférieure).
Si vous sélectionnez un paquet dans la section supérieure (liste des paquets), la section centrale (détails des paquets) affiche une description du paquet sélectionné et la section inférieure (octets de paquet) affiche un vidage hexagonal canonique du paquet sélectionné. Vous pouvez voir un exemple dans la capture d'écran suivante.
Les flèches en dessous pointent vers 4 flèches dans la section Détails de paquets; En les appuyant sur, vous pouvez voir la description du paquet.
Le menu principal que vous pouvez voir dans l'image ci-dessous contient les options suivantes:
Menu: La section de menu comprend des éléments pour gérer les fichiers de capture, enregistrer, exporter et imprimer partiel ou toutes les captures. Sur l'onglet Modifier, cette section contient des options pour trouver des paquets, gérer les profils de configuration et certaines préférences. L'onglet Affichage permet de gérer les options d'affichage telles que la colorisation spécifique des paquets, les polices, les fenêtres supplémentaires, et plus encore. L'onglet Go vous permet d'inspecter des paquets spécifiques. L'onglet Capture permet de démarrer et d'arrêter de capturer des fichiers, ainsi que d'édition de filtres. À partir de l'onglet Analyser, vous pouvez activer ou désactiver la dissection du protocole et manipuler les filtres d'affichage, parmi les options supplémentaires. L'onglet statistiques permet de montrer les statistiques et les résumés des captures. Les onglets de téléphonie vous permettent d'afficher les statistiques de téléphonie. L'onglet sans fil affiche Bluetooth et IEEE 802.11 statistiques. L'onglet des outils contient des outils disponibles pour Wireshark. Enfin, le menu d'aide contient des pages manuelles et d'aide.
La barre d'outils que vous pouvez voir dans l'image ci-dessous contient les options suivantes:
Barre d'outils: La barre d'outils principale contient des boutons pour démarrer, redémarrer et arrêter de capturer des paquets. À partir de cette barre d'outils, vous pouvez enregistrer, recharger et fermer les fichiers de capture. À partir de ce menu, vous pouvez également accéder aux options de capture supplémentaires ou trouver des paquets spécifiques. Vous pouvez passer au paquet suivant ou revenir au précédent. Cette barre d'outils comprend des options d'affichage pour colorer les paquets, zoomer ou zoomer, etc.
Pour terminer avec l'interface utilisateur, la barre d'outils de filtre que vous pouvez voir dans l'image ci-dessous contient les options suivantes:
Barre d'outils de filtre: Cette barre d'outils est utile pour spécifier le type de paquets que vous souhaitez capturer ou spécifier le type de paquets que vous souhaitez supprimer. Par exemple, pour capturer tous les paquets dont la source est le port 80, vous pouvez taper «TCP SRC Port 80». Pour supprimer tous les paquets ARP, vous pouvez taper «pas ARP."
Capturer les mots de passe avec Wireshark
Cette section du présent tutoriel explique comment utiliser Wireshark pour pirater les mots de passe de protocole vulnérables.
À cette fin, j'utiliserai le http: // testphp.vulnweb.com / connexion.Site Web PHP comme cible parce que le mot de passe est envoyé en texte brut (HTTP au lieu de HTTPS). Vous pouvez également obtenir des mots de passe protocole cryptés pour déchiffrer plus tard, mais ce tutoriel couvre le piratage de mot de passe en texte brut.
La première étape consiste à obtenir l'adresse IP du site Web. Nous pouvons le faire en utilisant la commande hôte suivie de l'URL dont nous voulons l'adresse IP que nous voulons. La syntaxe est la suivante.
héberger
Par conséquent, dans ce cas, j'exécute ce qui suit.
hôte http: // testphp.vulnweb.com / connexion.php
Nous voulons voir le trafic vers la destination avec l'adresse IP 44.228.249.3 seulement. Pour le faire, utilisez la barre d'outils filtrante indiquée dans la capture d'écran suivante.
La syntaxe à filtrer par adresse IP est la suivante.
IP.addr ==
Par conséquent, pour ne voir que des paquets appartenant au site Web cible IP (dans cet exemple, 44.228.249.3), je tape ce qui suit dans le filtre de la barre d'outils, et j'appuie sur le ENTRER clé.
IP.addr == 44.228.249.3
Connectez-vous dans le site Web vulnérable pour capturer le mot de passe et apprendre le processus.
Dans la section Liste des paquets, trouvez le POSTE demande, comme indiqué par la flèche vers le Info colonne.
Dans la section description des paquets, appuyez sur URL de formulaire HTML codé: application / x-www-form-urlencoded, et le POSTE Le contenu apparaîtra, dans ce cas, révélant le nom d'utilisateur et le mot de passe envoyé au site vulnérable.
C'est tout pour commencer avec Wireshark. Dans le prochain tutoriel, nous expliquerons comment révéler des mots de passe cipirés à l'aide de Wireshark et un outil de déchiffrement.
Conclusion
Comme vous pouvez le voir, l'installation de Wireshark dans Debian est assez facile; Il faut seulement exécuter le gestionnaire de packages APT. L'utilisation de Wireshark est facile une fois que vous savez à quoi servent les éléments d'interface utilisateur. Bien que Wireshark soit l'un des outils les plus populaires pour exécuter l'homme dans les attaques moyennes, ce n'est pas seulement un outil de piratage, comme le montre l'exemple ci-dessus; C'est une excellente ressource pour diagnostiquer les problèmes de réseau et apprendre comment les protocoles fonctionnent. Pour les utilisateurs du terminal, vous pouvez utiliser Tshark à la place, l'alternative de ligne de commande Wireshark. Une autre alternative populaire à Wireshark que vous voudrez peut-être essayer est TCPDump.
Merci d'avoir lu ce tutoriel expliquant comment installer Wireshark dans Debian et comment démarrer avec. Continuez à nous suivre pour des tutoriels Linux plus professionnels.