Découverte de l’interface de Wireshark
Sommaire
I. Présentation
Poursuivons notre découverte de Wireshark avec ce second article où nous allons apprendre à lancer une capture mais également découvrir l’interface GUI de Wireshark. Dans le premier article, nous avions vu ensemble comment installer Wireshark sur Windows, même si, je vous rappelle qu'il est également disponible sur Linux et Mac.
II. Wireshark : comment lancer une capture ?
Une fois l’installation de Wireshark terminée, au premier lancement vous allez voir l’ensemble de vos cartes réseau apparaitre, comme ceci :
Pour choisir votre interface de capture, vous pouvez vous référez à son adresse IP en laissant votre souris sur l’interface réseau. En laissant la souris sur le nom d'une interface, une info-bulle va apparaitre avec l'adresse IP associée à cette carte réseau. En complément, vous pouvez aussi regarder juste à côté des interfaces réseau car il y a un trait noir qui montre s'il y a de l’activité sur la carte réseau ou non.
Note : il est tout à fait possible de lancer une capture Wireshark en capturant le trafic en provenance de plusieurs cartes réseau, même si généralement on capture sur une seule carte réseau.
Si Wireshark détecte de l’activité sur la carte réseau, vous allez voir des sinusoïdales, sinon ça sera un trait noir horizontal.
Ensuite, vous pouvez faire un double-clique pour lancer votre capture réseau ou clique droit "Start capture".
Il suffira d'appuyer sur le bouton "Stop" pour arrêter la capture, mais avant cela, lisez la suite de cet article.
Intéressons-nous à l'interface de Wireshark, puisqu'elle contient de nombreux menus et boutons d'action. Sur cette première copie d’écran, vous pouvez voir l’interface par défaut de Wireshark lorsque qu’on lance une capture.
Afin d'étudier l'interface de Wireshark progressivement, nous allons décomposer l’interface de capture de Wireshark en 4 zones, mise en évidence sur l'image suivante :
La première zone correspond à la partie supérieure de l'interface et elle regroupe les différents menus de l'application, ainsi que divers boutons.
menu général avec les menus suivants :
- Fichier : permet de sauvegarder votre capture réseau, d’exporter des objets, exporter l’analyse de paquets au format CSV par exemple
- Editer : permet de modifier les préférences de Wireshark, d’ajouter des commentaires, configurer des profils
- Vue : permet de modifier l’affichage de Wireshark, comme désactiver le coloriage des paquets ou créer des nouvelles règles de coloriage, de modifier le format d’affichage du temps….
- Aller : permet de naviguer dans la liste des paquets capturés, par exemple pour atteindre un numéro de paquet directement….
- Capture : permet d’arrêter la capture ou bien de la redémarrer ou d’ajouter des filtres de capture entre autre
- Analyser : permet d’aller dans l’information expert de Wireshark qui va analyser la capture réseau, activer/désactiver des protocoles….
- Statistiques : permet d’afficher les statistiques de votre capture réseau comme les conversations, la liste des protocoles….
- Telephonie : permet d’afficher des statistiques sur des protocoles de téléphonie comme SIP, RTP….
- Wireless : permet d’afficher des statistiques sur le Wi-Fi comme la liste des SSID ou Bluetooth
- Outils : utilisation de script LUA ou bien Credential pour voir les mots de passe
- Aide : aide de Wireshark
Quant à la barre d'outils, elle intègre des boutons très pratiques et qui ont la signification suivante :
| Icône | Signification |
 |
Démarrer la capture |
 |
Arrêter la capture |
 |
Redémarrer la capture en cours |
 |
Options de capture : changer l’interface de capture, ajouter des filtres de capture |
 |
Ouvrir un fichier de capture |
 |
Sauvegarder la capture |
 |
Fermer le fichier de capture |
 |
Recharger le fichier de capture |
 |
Trouver un paquet ou une valeur dans un paquet |
 |
Aller au paquet précédent / aller au paquet suivant |
 |
Aller à un numéro de paquet spécifique |
 |
Aller au premier paquet/aller au dernier paquet |
 |
Activer ou désactiver le défilement des paquets automatiquement lors de la capture |
 |
Activer ou désactiver le coloriage des paquets |
 |
Gestion de la taille du texte : agrandir/diminuer/taille par défaut du texte |
 |
Ajuster la taille des colonnes de la liste des paquets |
Ensuite, nous retrouvons également quelques boutons dans la barre d’outils "Filtre d’affichage" :
| Icône | Signification |
 |
Enregistrer le filtre d’affichage |
 |
Appliquer le filtre d’affichage |
 |
Ecrire un filtre d’affichage |
 |
Historique des filtres d’affichage |
 |
Ajouter un bouton de filtre d’affichage |
Les filtres d'affichages sont très pratiques et nous reviendrons sur cette fonctionnalité dans un futur article. Par exemple, un filtre d'affichage va permettre d'afficher uniquement les paquets qui correspondent à l'adresse IP source "192.168.1.1" ou uniquement les paquets correspondants au protocole HTTPS. On peut également créer des conditions telles que "OU" et "ET".
B. La liste des paquets capturés
Cette seconde zone de l'interface permet de visualiser les différents paquets capturés par Wireshark sur l'interface réseau sélectionnée pour cette capture.
Par défaut, plusieurs colonnes sont affichées dans l'interface, voici leur nom et leur signification.
- Num : le numéro de paquet en sachant que le 1er paquet capturé à le numéro 1 et ainsi de suite...
- Time : le temps écoulé entre le moment où Wireshark a capturé le paquet et le moment où l'on a démarré la capture (en secondes par défaut)
- Source : adresse IP source qui a envoyé le paquet
- Destination : adresse IP qui va recevoir ou a reçu le paquet
- Protocol : protocole utilisé (DNS, TCP, TLS, SSH….)
- Length : taille du paquet (entête protocolaire + données transportées)
- Info : informations sur le paquet comme le port TCP, la requête applicative….
En complément de ces colonnes, des symboles s'affichent sur la gauche :
| Icône | Signification |
 |
Début d’une session La requête applicative La réponse applicative |
 |
Acquittement du paquet |
C. Le détail du paquet
Le détail du paquet va reprendre le modèle OSI, sauf pour la couche 1, nous aurons des informations de temps, la taille du paquet ou bien la règle de coloriage associée.
Le reste va détailler l’ensemble des protocoles d’un paquet que ce soit les adresses MAC/IP, le protocole de transport utilisé (par exemple TCP) et le protocole applicatif. Par exemple :
D. La vue hexadécimale d’un paquet
La quatrième et dernière zone permet d'avoir un aperçu du paquet au format hexadécimal. Cela reprend l’ensemble des infos du détail d’un paquet, avec l'écriture hexadécimale à gauche et la correspondance à droite au niveau de la donnée applicative, à condition que la donnée ne soit pas chiffrée. Voici un exemple :
Juste en dessous de cette zone de l'interface Wireshark, nous avons également la barre d'état. Bien que discrète, elle va donner des informations à l'utilisateur :
| Icône | Signification |
 |
Information expert : suivant les erreurs rencontrées ou non, la couleur de cet icône change |
 |
Propriétés du fichier de capture : temps de capture, débit moyen…. |
 |
Le nombre de paquets total, le nombre de paquets affichés ou bien si Wireshark a drop des paquets avec les champs perdus |
 |
Nom du profil utilisé actuellement (on peut changer de profil suivant nos besoins) |
IV. Conclusion
Dans ce second tutoriel, nous avons découvert l’interface de Wireshark. Dans le prochain article, nous verrons comment personnaliser l'interface de capture ou d'analyse de paquets de Wireshark afin de poursuivre notre initiation à Wireshark.
Bonjour,
Tuto très intéressant, vivement la suite.
Merci