Wireshark, anciennement Ethereal, est un puissant programme open-source qui aide les utilisateurs à surveiller et à analyser les informations voyageant vers et depuis un réseau spécifique. Le logiciel peut traiter des données complexes provenant de centaines de protocoles sur la plupart des types de réseaux, en les organisant en paquets de données. Cependant, lorsque le réseau tombe en panne de manière inattendue ou rencontre des problèmes, la recherche dans les paquets peut s’avérer accablante et demander beaucoup de temps et d’énergie. C’est là que la convivialité de Wireshark se révèle utile.
Le logiciel prend en charge des filtres qui vous permettent de passer rapidement au crible de grandes quantités d’informations. Au lieu d’inspecter manuellement les fichiers capturés, vous pouvez appliquer un filtre qui vous mènera aux données que vous souhaitez vérifier.
Poursuivez votre lecture pour découvrir les meilleurs filtres Wireshark et comment les mettre en favoris pour une utilisation ultérieure.
Filtres Wireshark
Il existe deux types de filtres dans Wireshark. Le premier est le filtre de capture, tandis que l’autre est le filtre d’affichage. Les deux fonctionnent sur une syntaxe différente et servent des objectifs spécifiques.
Les filtres de capture sont établis avant d’initier une opération de capture. Les paramètres des filtres de capture permettent d’enregistrer et de stocker uniquement le trafic que vous souhaitez analyser. Une fois l’opération de capture commencée, il est impossible de modifier ce type de filtre.
En revanche, les filtres d’affichage contiennent des paramètres qui s’appliquent à tous les paquets capturés. Vous pouvez définir ce type de filtre avant de lancer une opération de capture et le modifier ou l’annuler ultérieurement. Vous pouvez également l’établir pendant que l’opération est en cours. Un filtre d’affichage conserve les données dans un tampon de trace, cachant le trafic qui ne vous intéresse pas et n’affichant que les informations que vous souhaitez consulter.
Wireshark dispose d’une impressionnante bibliothèque de filtres intégrés pour aider les utilisateurs à mieux surveiller leurs réseaux. Pour accéder à un filtre existant et l’utiliser, vous devez taper le nom correct dans la section “Appliquer un filtre d’affichage” située sous la barre d’outils du programme. Pour trouver et appliquer un filtre de capture, utilisez la section “Entrer une capture” au milieu de l’écran de bienvenue.
Bien que Wireshark dispose de capacités de filtrage complètes, il est souvent difficile de se souvenir de la syntaxe correcte. Lorsque vous vous efforcez de taper le filtre approprié, vous perdez un temps précieux.
Mais vous avez de la chance. Nous avons compilé une liste des meilleurs filtres Wireshark pour vous aider à utiliser le programme de manière plus efficace et vous éviter d’avoir à analyser des piles de données enregistrées.
Les meilleurs filtres Wireshark
Examinons plusieurs filtres utiles qui vous permettront de maîtriser le programme.
ip.addr == x.x.x.x
Le filtre ci-dessus ne fera apparaître que les paquets capturés qui incluent l’adresse IP définie. Il s’agit d’un outil pratique pour inspecter un type de trafic. L’application du filtre traitera le trafic sortant et déterminera celui qui correspond à la source ou à l’IP que vous recherchez.
Si vous voulez filtrer par destination, utilisez la variante ip.dst == x.x.x.x.
La variante ip.src == x.x.x.x vous aide à filtrer par source.
ip.addr == x.x.x.x && ip.addr == x.x.x.x
Cette chaîne établit un filtre de conversation entre deux adresses IP prédéfinies. C’est un outil précieux pour vérifier les données entre deux réseaux ou hôtes sélectionnés. Le filtre ignore les données inutiles et se concentre uniquement sur la recherche des informations qui vous intéressent le plus.
Pour le filtrage de la destination, utilisez la chaîne ip.src == xxxx && ip.dst == xxxx.
http or dns
Lorsque vous appliquez ce filtre, il affiche tous les protocoles dns ou http. Il s’agit d’un filtre qui vous permet de gagner du temps et de vous concentrer sur un protocole spécifique que vous souhaitez examiner. Par exemple, si vous devez trouver un trafic FTP suspect, il vous suffit de définir le filtre sur “ftp” Pour savoir pourquoi une page Web n’apparaît pas, définissez le filtre sur “dns”.
tcp.port==xxx
Le filtre ci-dessus limite votre recherche à un port de destination ou à une source spécifique. Au lieu de parcourir l’ensemble d’un paquet capturé, le filtre génère des données concernant le trafic entrant ou sortant d’un seul port. C’est l’un des filtres les plus pratiques sur lequel vous pouvez compter pour accomplir votre tâche si vous êtes pressé par le temps.
tcp.flags.reset==1
L’application de ce filtre montrera chaque réinitialisation TCP. Chaque paquet capturé est associé à un TCP. Lorsque sa valeur est égale à un, il avertit le PC récepteur qu’il doit cesser d’opérer sur cette connexion. Il s’agit de l’un des filtres Wireshark les plus impressionnants car une réinitialisation TCP met fin à la connexion instantanément.
tcp contains xxx
Ce filtre trouvera tous les paquets de capture TCP qui incluent le terme spécifié. Si vous êtes curieux de savoir où l’élément apparaît dans une capture, tapez son nom au lieu de “xxx” Le filtre localisera toutes les instances du terme, vous évitant ainsi de lire le paquet. Par exemple, lorsque vous remplacez ” xxx ” par ” trafic “, vous verrez tous les paquets contenant ” trafic ” Il est préférable d’utiliser ce filtre pour analyser un ID utilisateur ou une chaîne de caractères spécifique.
!(arp or icmp or dns)
Le filtre ci-dessus est conçu pour exclure des protocoles spécifiques. Utilisez-le pour supprimer le protocole arp, dns ou icmp dont vous n’avez pas besoin. Il vous permet de bloquer les données distrayantes afin que vous puissiez vous concentrer sur l’analyse des informations plus urgentes.
tcp.time_delta >.250
Ce filtre affiche les paquets TCP dont le temps delta est supérieur à 250 mSec dans leur flux.
N’oubliez pas qu’avant d’utiliser le filtre, vous devez calculer l’horodatage de conversion TCP. Bien que le calcul des délais dans les conversations ne soit pas trop difficile, il nécessite quelques connaissances avancées de Wireshark.
tcp.analysis.flags && !tcp.analysis.window_update
Ce filtre vous aide à visualiser les retransmissions, les fenêtres zéro et les attaques en double dans une seule trace. C’est un excellent moyen de trouver des performances d’application médiocres ou des pertes de paquets.
Conseils pour l’utilisation des filtres Wireshark
Ne pas se souvenir de la syntaxe correcte d’un filtre est frustrant et peut vous empêcher de trouver rapidement des données précieuses.
Parfois, la fonction de complétion automatique de Wireshark peut vous aider à résoudre le problème. Par exemple, si vous êtes sûr que le filtre commence par “tcp”, tapez cette information dans le champ de recherche approprié. Wireshark génère une liste de filtres commençant par “tcp” Descendez dans les résultats de la recherche jusqu’à ce que vous trouviez le bon moniker.
Une autre façon de trouver des filtres est l’option “signet” à côté du champ de saisie. Lorsque vous sélectionnez “Gérer les filtres d’affichage” ou “Gérer les expressions de filtre”, vous pouvez modifier, ajouter ou supprimer des filtres. Si vous n’êtes pas particulièrement sûr de vous souvenir d’abréviations syntaxiques complexes, l’option “signet” est un outil facile à utiliser pour retrouver les filtres Wireshark fréquemment utilisés.
Au lieu de retaper des filtres de capture complexes, suivez les étapes ci-dessous pour les enregistrer dans le menu “signet”:
- Lancez Wireshark et accédez à l’option “signet”.
- Cliquez sur “Manage Display Filters” pour afficher la boîte de dialogue.
- Trouvez le filtre approprié dans la boîte de dialogue, tapez dessus et appuyez sur le bouton “+” pour l’enregistrer.
Voici ce que vous devez faire pour enregistrer un filtre d’affichage:
- Ouvrez Wireshark et allez dans l’option “signet”.
- Choisissez “Gérer les filtres d’affichage” pour ouvrir la fenêtre de dialogue.
- Parcourez la liste des options, double-cliquez sur le filtre approprié, puis cliquez sur le bouton “+” pour l’enregistrer comme signet.
Si vous êtes pressé d’analyser des données spécifiques, vous pouvez appuyer sur la flèche vers le bas à côté du champ de saisie. Cette action génère une liste des filtres précédemment utilisés.
Utilisez les filtres pour une analyse des données sans souci
Wireshark est devenu l’un des analyseurs de protocoles réseau les plus populaires, grâce à ses filtres pratiques. Vous pouvez les utiliser pour gagner du temps et localiser rapidement des paramètres spécifiques comme les adresses IP ou les valeurs HEX. Si vous avez du mal à vous souvenir des différents monikers de vos filtres les plus utilisés, enregistrez-les comme signets pour une utilisation ultérieure.
A quelle fréquence utilisez-vous les filtres Wireshark? Sur lesquels vous comptez le plus, les filtres de capture ou d’affichage? Avez-vous déjà utilisé certaines des options mentionnées ci-dessus? Faites-le nous savoir dans la section des commentaires ci-dessous.