Wireshark et les commentaires
Sommaire
I. Présentation
Dans ce septième volet de la série sur Wireshark, nous allons voir comment ajouter/modifier et supprimer des commentaires dans une trace réseau. Pourquoi ajouter des commentaires sur une trace réseau ? La réponse est simple, cela permet de noter notre analyse directement sur la trace réseau ou bien si un collègue doit prendre la suite de votre analyse, il trouvera vos annotations.
Voici la liste des précédents articles de cette série sur Wireshark :
- Tutoriel - Installation pas-à-pas de Wireshark
- Tutoriel - Découverte de l'interface Wireshark
- Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
- Tutoriel - Wireshark et les filtres de capture
- Tutoriel - Wireshark et les filtres d'affichage
- Tutoriel - Wireshark et la résolution de noms
- Téléchargement - Wireshark
II. Prérequis
Le seul prérequis dont nous avons besoin pour pouvoir enregistrer les commentaires dans une trace réseau et de sauvegarder notre capture réseau au format pcapng.
III. Ajouter des commentaires sur un paquet
Pour ajouter un commentaire sur un paquet rien de plus simple, il suffit de faire un clic droit sur le paquet dans la liste des paquets et de cliquer sur commentaires du paquet.
Ensuite, une nouvelle fenêtre apparaît, vous pouvez écrire votre commentaire et le valider en cliquant sur "OK".
Évitez les accents dans les commentaires, sinon voici ce que ça peut donner à l'affichage :
Vous pouvez aussi ajouter un commentaire depuis le menu "Editer" puis "Commentaires du paquet" et "Add New Comment".
Comment vérifier que le commentaire a été ajouté sur le paquet ? Maintenant que nous avons ajouté un commentaire, nous allons vérifier qu’il a bien été pris en compte. Pour cela, allez sur le paquet juste en dessous ou au-dessus du paquet commenté et cliquez de nouveau sur le paquet commenté. Ensuite, cliquez dans la zone "Détails du paquet", vous verrez une nouvelle ligne apparaître intitulée "Packet comments".
Vous pouvez cliquer sur la petite flèche juste devant pour voir les commentaires.
IV. Modifier ou supprimer un commentaire existant sur un paquet
L'édition de commentaires s’effectue de la même manière que l’ajout, à savoir un clic droit sur un paquet puis "Commentaires du paquet" et "Edit de votre commentaire". Dans cet exemple, je peux éditer le commentaire "requete ARP" en cliquant sur le bouton "Edit "requete ARP"".
Vous allez retrouver la même fenêtre que lors de l’ajout du commentaire, il vous reste juste à modifier votre commentaire puis à valider.
La suppression d’un commentaire s’effectue de la même façon que l’ajout et l’édition de paquet. Pour être précis, il faut effectuer un clic droit sur votre paquet, cliquez sur "Commentaires du paquet" puis "Delete de votre commentaire".
Ou bien, vous pouvez supprimer l’ensemble des commentaires du paquet en sélectionnant "Delete packet comments" comme sur l’image ci-dessus.
V. Voir le nombre de commentaires
Pour voir le nombre de paquets commentés, il suffit de regarder la barre du bas, dans la partie de droite.
Ensuite, il existe un filtre d’affichage pour voir seulement les paquets commentés dans notre fichier de capture. Le filtre d'affichage suivant doit être utilisé :
pkt_comment
VI. Utilisation de l’information expert pour trouver les commentaires
Wireshark dispose d’un outil expert pour analyser les informations de votre capture réseau, comme les erreurs. Pour accéder à la fonctionnalité "Information expert", allez dans le menu "Analyser" puis "Information Expert".
Une nouvelle fenêtre apparaît. La sévérité qui nous intéresse est la valeur « comment » pour avoir des informations sur les commentaires. Ici vous allez voir le nombre de commentaires dans votre capture ainsi que le numéro de paquet associé.
VII. Ajouter un commentaire global
Wireshark offre la possibilité d’ajouter des commentaires globaux, par exemple vous pouvez spécifier où a été effectuée votre capture. Afin de pouvoir utiliser cette fonctionnalité, il faut absolument enregistrer votre capture au format pcapng.
Maintenant passons à la pratique, pour ce faire aller dans le menu "Statistiques" puis "Propriétés du fichier de capture". Une nouvelle fenêtre s’ouvre, vous pouvez voir l’ensemble des commentaires paquets
Pour ajouter des commentaires globaux, nous allons aller dans la partie commentaires du fichier de capture. Vous pouvez écrire votre commentaire et ensuite cliquer sur "Enregistrer les commentaires".
VIII. Conclusion
Voici la fin de septième article sur Wireshark dans lequel nous avons vu la gestion des commentaires, que ce soit au niveau des paquets ou du fichier de capture en lui-même. Le prochain article portera sur l’outil information expert de Wireshark.