Wireshark et la gestion du temps : ajuster l’affichage de la date et l’heure
Sommaire
I. Présentation
Dans ce tutoriel, nous allons aborder la gestion de l’affichage de l’heure dans Wireshark, et voir comment fixer un temps de référence.
Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :
- Tutoriel - Installation pas-à-pas de Wireshark
- Tutoriel - Découverte de l'interface Wireshark
- Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
- Tutoriel - Wireshark et les filtres de capture
- Tutoriel - Wireshark et les filtres d'affichage
- Tutoriel - Wireshark et la résolution de noms
- Tutoriel - Wireshark et les commentaires
- Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
- Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
- Tutoriel - Wireshark - Comment décoder un protocole ?
- Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
- Tutoriel - Wireshark - Créer une capture en continue (sans saturer sa machine)
- Tutoriel - Wireshark - fusionner des fichiers de capture avec Mergecap
- Tutoriel - Wireshark - Comment marquer des paquets pour les identifier plus facilement ?
- Téléchargement - Wireshark
C'est parti !
II. Horodatage des paquets
L’horodatage des paquets s’effectue pendant la capture réseau, ce n’est pas Wireshark qui effectue l’horodatage, il obtient cette information par la bibliothèque libpcap (jusqu’à la microseconde) qui permet de capturer les paquets, et celui-ci l’obtient du système d’exploitation.
Le format interne utilisé par Wireshark pour conserver l’horodatage d’un paquet se compose de deux éléments :
- La date en jour depuis le premier janvier 1970
- L’heure en microseconde depuis minuit
III. La précision de l’horodatage
L'une des questions qu’on peut se poser, c’est la précision de l’horodatage. Comme indiqué dans le chapitre précédent de cet article, Wireshark ne crée pas l’horodatage des paquets.
La précision de celui-ci va dépendre du système d’exploitation et des performances de la machine où on effectue la capture de paquets.
N.B : Évitez les adaptateurs réseau par USB pour capturer les paquets, car la précision de l’horodatage est mauvaise.
IV. Les formats d’horodatage supportés par Wireshark
A. Les formats de présentation
- Date et heure du jour : 1970-01-01 01:02:03.123456 La date et l'heure absolues du jour où le paquet a été capturé.
- Heure du jour : 01:02:03.123456 L'heure absolue de la journée à laquelle le paquet a été capturé.
- Secondes depuis le premier paquet capturé : 123.123456 L'heure relative au début du fichier (affichage par défaut) de capture ou la première « référence temporelle » avant ce paquet
- Secondes depuis le paquet capturé précédent : 1,123456 Le temps relatif au paquet capturé précédent.
- Secondes depuis le paquet affiché précédent : 1,123456 Le temps relatif au paquet affiché précédent.
- Secondes depuis le début de l'époque (1970-01-01) : L'heure relative à l'époque (minuit UTC du 1er janvier 1970).
B. Les précisions
Les précisions concernent le nombre de décimal à afficher.
- Automatique (à partir du fichier de capture et valeur par défaut) : la précision de l'horodatage du format de fichier de capture chargé sera utilisée
- De la seconde à la microseconde.
V. Wireshark : gestion du temps
A. La colonne time
L’horodatage des paquets se trouve dans la colonne « Time » lors de la capture des paquets dans le panneau « liste des paquets ». Par défaut, le format d’affichage est : « Secondes depuis le premier paquet capturé » avec une précision configurée en « automatique ».
B. Modifier le format d’affichage du temps
Allez dans le menu « Vue », ensuite cliquez sur « Format d’Affichage de l’Heure ».
Ensuite, vous pouvez choisir le format qui vous convient dans la liste proposée. Le format actif est identifiable grâce à un petit point sur la gauche.
La modification de l’affichage dans Wireshark s’effectue automatiquement. Dans cet exemple, nous avons choisi le format suivant : « Heure du jour » avec une précision à la « milliseconde ».
VI. Quel format d’affichage du temps utiliser ?
A. Analyse cybersécurité
Lors d’une analyse de paquet dans le cadre d’un incident de cybersécurité, le format d’affichage de l’heure préconisé est le suivant :
- Format : heure du jour
- Précision : seconde
Ainsi, il sera facile de localiser l'événement dans l'espace-temps.
B. Analyse performance applicative
Dans le cadre d’une analyse de paquet sur la performance d’une application, le format d’affichage de l’heure est le suivant :
- Format : Seconde depuis le premier paquet capturé
- Précision : millisecondes
VII. Fixer un temps de référence
Wireshark propose une fonctionnalité permettant de fixer un temps de référence depuis un paquet donné.
Le temps de référence est le point de départ du calcul (on repart de zéro seconde) de l’ensemble des paquets après avoir spécifié le paquet de référence.
Le temps de référence fonctionne seulement avec le format d’affichage du temps suivant : « Seconde depuis le premier paquet capturé ».
A. Comment utiliser cette fonctionnalité
Dans le panneau « liste des paquets », effectuez un clic droit sur un paquet et ensuite sélectionnez « Fixer/Défixer le temps de référence ».
Après avoir fixé le temps de référence, vous pouvez voir que l’horodatage après la trame « numéro 10 » repart de zéro. Pour retirer le temps de référence, vous pouvez faire la même procédure.
B. Dans quel cas l’utiliser ?
L’utilisation du temps de référence est très utile dans le cadre des problèmes de performance applicative, je l’utilise couramment dans mes analyses du protocole TCP (nous y reviendrons bientôt dans de nouveaux tutoriels).
VIII. Conclusion
Ce tutoriel va vous permettre de modifier le format d’affichage du temps et de fixer un temps de référence dans le cadre de vos analyses. Le prochain article sera le début d’une série sur le protocole TCP avec comme premier chapitre le tree-way handshake.
