15/11/2024
IT-Connect » Cours - Tutoriels » Administration Réseau » Wireshark » Wireshark et la résolution de noms

Wireshark

Wireshark et la résolution de noms

Yohan 0 commentaire

I. Présentation

Dans ce sixième volet de la série sur Wireshark, nous allons explorer la résolution de noms dans Wireshark, au niveau d'Ethernet (adresse MAC), d'IP (noms de domaine) et de la couche Transport (numéros de ports).

Pour rappel, la résolution de nom permet de trouver l'adresse IP associée à un nom de domaine : pour les humains, c'est plus facile de travailler avec les noms même si les machines se réfèrent à l'adresse IP. Différents outils permettent de trouver l'adresse IP associée à un nom de domaine : nslookup, dig, etc. Par exemple, l'adresse IP 172.67.166.9 est associée à www.it-connect.fr. Plus généralement, la résolution de nom permet de convertir certaines valeurs numériques dans un format plus compréhensible pour l’être humain.

Voici la liste des précédents articles de cette série sur Wireshark :

II. Résolution de noms Ethernet

La résolution de nom Ethernet dans Wireshark permet de résoudre la partie OUI (Organizationally Unique Identifier) d’une adresse MAC. Si vous souhaitez en apprendre plus sur les adresses MAC, vous pouvez lire notre article à ce sujet : Qu'est-ce qu'une adresse MAC ?

A. Comment Wireshark effectue la résolution de nom Ethernet ?

Wireshark s’appuie sur deux méthodes pour effectuer sa résolution de nom Ethernet. Tout d'abord, il s'appuie sur le fichier Ethers. Personnellement, je ne l’ai pas trouvé sur mon ordinateur sous Windows tandis que dans la documentation "Wireshark sous Unix", on peut trouver ce type de fichier dans le répertoire système /etc/.

En complément, il s'appuie sur le fichier Manuf, qui se situe à la racine du répertoire du programme Wireshark.

En ouvrant le fichier avec un éditeur de texte, vous verrez la liste des OUI avec le nom du constructeur associé.

Wireshark fichier MANUF

B. Activer la résolution de nom Ethernet

Pour activer la résolution de nom Ethernet dans Wireshark, il faut cliquer sur le menu "Editer" puis "Préférences".

Au sein de la section "Name Resolution", cochez l'option "Resolve MAC address" comme sur la copie d’écran ci-dessous et cliquez sur "OK" pour valider la modification.

C. Vérification de la résolution de nom Ethernet dans un fichier de capture

Dès que vous avez coché la résolution d’adresse MAC, le fichier de capture va prendre en compte la modification directement. Il suffit de cliquer sur un paquet de votre trace réseau et de regarder dans le détail du paquet au niveau Ethernet : vous verrez le nom du constructeur sur la partie OUI de l’adresse MAC. Ainsi, vous avez le nom du constructeur de la carte réseau.

III. Résolution de nom IP dans WireShark

A. Comment Wireshark effectue la résolution de nom IP ?

La résolution de nom IP peut s’appuyer sur différentes méthodes configurables dans Wireshark :

  • Utiliser les requêtes DNS d’un fichier de capture
  • Utiliser la résolution DNS en s’appuyant sur les paramètres système de l’hôte
  • Ajouter des serveurs DNS dans les préférences de Wireshark
  • Utilisation d’un fichier host (déconseillé)

A. Activer la résolution de nom IP dans Wireshark

L’activation de la résolution de nom IP se situe au même endroit que pour la partie Ethernet, à savoir dans le menu "Editer" puis "Préférences". Nous allons configurer la résolution de nom IP de la manière suivante :

  • Utiliser les requêtes DNS du fichier de capture : "Use captured DNS packet data for address resolution"
  • Utiliser les paramètres DNS de l’hôte : "Use an external network name resolver"
  • Activer la résolution de nom IP : "Resolve network(IP) addresses"

En image, cela donne :

Si vous souhaitez utiliser d’autres serveurs DNS, il suffit de cocher l'option "Use custom list of DNS servers for name resolution" et cliquer sur le bouton "Edit" à côté de "DNS Servers" pour ajouter votre liste de serveurs personnalisée.

D’autre part, Wireshark permet de configurer le nombre de requêtes maximum DNS active, par défaut la valeur est à 500. Personnellement, je n’ai jamais modifié ce paramètre.

B. Valider la résolution de nom IP

Cette fois-ci encore, la modification est prise en compte directement par Wireshark. Il suffit de regarder la liste des paquets, vous verrez le nom des sites internet apparaître au lieu des adresses IP, par exemple.

IV. Résolution de nom de la couche transport

La résolution de nom de la couche de transport permet de traduire le numéro de port TCP et UDP par le nom du protocole associé. Par exemple, si le port 80 est utilisé, ce sera indiqué "http" tandis que pour le numéro de port 53, ce sera indiqué DNS.

A. Comment Wireshark effectue la résolution de nom de la couche transport ?

Wireshark utilise le système d’exploitation de l’hôte pour faire la correspondance.

B. Activer la résolution de nom transport

Pour activer la résolution de nom transport, c'est toujours au même endroit, à savoir dans le menu "Editer" puis "Préférences". Cette fois-ci, il faut cocher l'option "Resolve transport names" et cliquez sur "OK" pour valider.

C. Valider la résolution de nom transport

Dans la liste des paquets, dans la colonne infos, vous verrez le nom du protocole et à côté entre parenthèses le numéro de port associé grâce à cette traduction effectuée par Wireshark.

D. Personnaliser la résolution de nom IP dans un fichier de capture

Vous souhaitez créer vos propres noms pour associer votre adresse IP internes à la terminaison "LAN", par exemple, et bien Wireshark le permet et cela est très simple à faire ! Dans la liste des paquets, vous faites clic droit sur un paquet et ensuite vous cliquez sur "Éditer nom résolu".

En dessous de la barre des filtres d’affichage, va apparaître la résolution de nom :

Au niveau du champ "adresse", vous pouvez choisir l'adresse IP de la conversation dont vous souhaitez éditer le nom.

Dès que vous avez choisi votre IP, vous rentrez un nom et validez en cliquant sur "OK".

Automatiquement, Wireshark va prendre en compte la modification pour l’ensemble de la capture. On peut le constater en regardant la colonne "Destination" dans la capture ci-dessous. La modification du nom s'applique uniquement en local sur votre PC.

V. Conclusion

Voilà, nous avons vu comment Wireshark effectue la résolution de nom et comment l'activer aussi bien pour les adresses MAC, les noms de domaine que les numéros de port. Le prochain article portera sur la gestion des commentaires d’un fichier de capture.

author avatar
Yohan Ingénieur performance réseau
Exerce depuis maintenant 10 ans et demi en tant que responsable d’infrastructure dans une entreprise d’assurance (2 ans en alternance). Plus spécialisé dans l'analyse de traces réseau et de métrologie NPMd , je connais les environnements Cisco ACI , catalyst, Alcatel entre autres, à travers le site it-connect.fr. Je souhaite pouvoir partager mon expérience et mes connaissances réseau. J'ai une chaîne YouTube dédiée à wireshark.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Wireshark – Importer des clés TLS dans un fichier de capture

Yohan 0

Wireshark : créer une capture en continue (sans saturer sa machine)

Yohan 2

Installation pas à pas de Wireshark

Yohan 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.