Wireshark est l'un des outils d'analyse de réseau les plus célèbres au monde, à la fois parce qu'il est gratuit et parce qu'il fonctionne bien et n'est pas trop difficile à utiliser. Sa renommée, cependant, vient du fait qu'avec ce programme, il est possible de filtrer, capturer et espionner les paquets et les informations qui transitent dans un réseau informatique .
Espionner les paquets, comme on le voit dans un guide général (Entrer dans un réseau wifi protégé pour capturer des paquets et espionner ce que vous faites sur Internet), vous permet de lire tout type d'informations qui apparaissent clairement dans la communication entre le PC et Internet.
Cela signifie que si deux personnes sont dans le même bureau ou à la maison et se connectent au même réseau (ou au même routeur) pour aller sur Internet, les deux PC peuvent être vus et à partir d'un seul, il est possible, à l'aide de Wireshark, de capturer les informations du autres, y compris les sites Web que vous visitez, les mots de passe en texte brut (sur les sites non https), les e-mails, les chats, etc.
Wireshark, cependant, est avant tout un programme d'analyse de réseau très puissant également utilisé par des techniciens professionnels, puis voyons comment l'utiliser sérieusement.
Vous pouvez télécharger Wireshark pour Windows ou Mac OS X sur son site officiel.
Si vous utilisez Linux ou un autre système de type UNIX, Wireshark doit se trouver dans le référentiel du logiciel de distribution.
Après avoir téléchargé et installé Wireshark, vous pouvez le démarrer et vous devez immédiatement sélectionner l'interface réseau appropriée à analyser .
Par exemple, si vous souhaitez acquérir du trafic sur le réseau sans fil, cliquez sur la carte réseau wifi sinon, si le réseau utilisé est câblé, vous devez choisir la connexion LAN et ainsi de suite.
Dès que vous sélectionnez une interface, vous verrez immédiatement que toute information qui passe sur le réseau est visible dans une liste de défilement continue.
Si vous activez le contrôle sur un réseau partagé par plusieurs ordinateurs (comme un wifi) et que vous avez activé l'acquisition de données en mode promiscuous, vous verrez également les paquets d'autres ordinateurs connectés au même réseau .
L'acquisition en mode promiscuous est possible à partir d'un PC Windows uniquement en installant les pilotes WinPCap qui sont inclus dans le package d'installation de Wireshark.
Dans le coin supérieur gauche, vous pouvez arrêter le processus de capture en temps réel et arrêter l'acquisition du trafic.
Wireshark affiche des données interceptées de couleurs différentes pour aider à identifier plus facilement les types de trafic.
Par défaut, le trafic TCP est vert, le trafic DNS est bleu foncé, le trafic UDP est bleu clair à la place; les noirs sont des paquets TCP avec des problèmes.
Pour commencer et voir si cela fonctionne, vous devez vous assurer que lors de la navigation sur Internet en ouvrant quelques sites Web, les données et informations sont capturées par Wireshark.
Les appels HTTP sont ceux liés au trafic Internet qui peuvent être les plus intéressants si vous avez l'intention de trouver des informations de navigation telles que les sites visités.
Vous pouvez également télécharger un exemple de fichier pour analyse dans Wireshark pour
Il est important de ne pas se perdre dans la mer de données générées, c'est d'utiliser des règles de filtrage de paquets.
La façon la plus simple d' appliquer un filtre consiste à taper une clé de recherche dans la zone de filtre en haut de la fenêtre et à cliquer sur Appliquer.
Par exemple, en tapant " http ", vous ne verrez que les connexions effectuées via le navigateur sur Internet.
Chaque paquet peut être inspecté et il suffit de cliquer dessus avec le bouton droit pour voir plus de détails et le flux TCP ou l'historique des étapes effectuées (par exemple, si vous recherchez plus de choses sur Google, vous pouvez revoir le flux entier).
Des filtres plus spécifiques peuvent être appliqués à partir du menu Analyser .
Lors de l'acquisition de paquets, il peut être gênant et difficile de comprendre le flux de données et d'informations sniffées sur le réseau car seules les adresses IP sont affichées.
Cependant, il est possible de convertir des adresses IP en noms de domaine (pour le trafic http, cela signifie voir les noms des sites Web) en activant la fonctionnalité dans le menu Edition -> Préférences -> Résolution de nom et en activant " Activer la résolution de nom de réseau ".
Lorsque vous activez cette option, vous verrez des noms de domaine au lieu d'adresses IP mais, comme Wireshark devra rechercher chaque nom de domaine, les demandes DNS augmentent en augmentant le flux de données.
Si vous souhaitez configurer une capture automatique de paquets sur votre ordinateur, vous pouvez créer un raccourci sur le bureau pour démarrer rapidement Wireshark.
Après avoir créé le lien, faites un clic droit, entrez les propriétés et, où " Destination " est écrit, ajoutez un espace à la ligne après les guillemets finaux puis -i # -k .
au lieu de # vous devez mettre le numéro de la carte réseau à vérifier, selon l'ordre donné par Wireshark lors de la phase de sélection.
Capturer le trafic à partir d'autres ordinateurs connectés au même réseau est peut-être son objectif le plus drôle, ce qui fait de nous un peu un pirate à notre manière (ce n'est pas si simple, cependant).
Si vous souhaitez enregistrer le trafic réseau et espionner les informations passant par un routeur, un serveur ou un autre ordinateur, vous devez utiliser la capture à distance Wireshark qui, sous Windows, utilise le pilote WinPcap.
Une fois installé, vous devez ouvrir la fenêtre des services Windows (cliquez sur Démarrer et écrivez la commande Services.msc dans la zone Rechercher ou exécuter).
Dans la liste des services, recherchez et activez ce qu'on appelle le protocole de capture de paquets à distance .
Ce service est désactivé par défaut.
Cliquez sur Options Capture dans la fenêtre Wireshark initiale et sélectionnez Remote dans la zone Interface .
Saisissez ensuite l'adresse du système distant (par exemple 192.168.2.3 ) et le port 2002 .
Pour fonctionner, vous devez avoir accès au port 2002 sur le système distant, vous devrez donc ouvrir ce port sur le pare-feu ou le routeur de votre ordinateur.
Après la connexion, vous pouvez sélectionner une interface sur le système distant dans la zone où les cartes réseau sont répertoriées et cliquez sur Démarrer pour commencer à enregistrer les connexions établies à partir de cet ordinateur.
Dans cette vidéo, vous pouvez voir un tutoriel d'introduction très bien fait pour apprendre à utiliser Wireshark.
Wireshark est un outil extrêmement puissant même si seuls les plus expérimentés peuvent le comprendre à fond et l'utiliser pour effectuer tout type d'opération dans un réseau.
Ce tutoriel est juste une introduction à tout ce que vous pouvez faire (voici le manuel complet en anglais); sachez que les professionnels l'utilisent pour déboguer les installations de protocole réseau, analyser les problèmes de sécurité et contrôler le trafic dans les entreprises.
Enfin, une dernière recommandation: de nombreuses organisations n'autorisent pas Wireshark ou des outils similaires à agir sur leurs réseaux (problème de confidentialité), vous ne devez donc pas risquer de l'utiliser au bureau, sauf autorisation.
Si vous voulez essayer des programmes plus simples, je vous recommande de télécharger les outils Nirsoft pour flairer le réseau PC et voir les sites visités, les recherches sur Internet et les mots de passe .
