Introduction à l'analyse réseau avec Wireshark

Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled « GNU Free Documentation License ».

Copyright (c) 2000,2014 Philippe Latu. Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.3 ou toute version ultérieure publiée par la Free Software Foundation ; sans sections invariables ; sans texte de première de couverture, et sans texte de quatrième de couverture. Une copie de la présente licence est incluse dans la section intitulée « Licence de Documentation Libre GNU ».

1-1. Métainformation▲

Avec Wireshark, il est possible de capturer des paquets directement sur les interfaces du système utilisé ou de lire des fichiers de captures sauvegardées. Wireshark supporte les formats de fichiers de capture les plus courants : libpcap/tcpdump, Sun's snoop/atmsnoop, LanAlyzer, MS Network Monitor, HPUX nettl, AIX iptrace, Cisco Secure IDS, etc.

2-1. Quels sont les protocoles supportés ?▲

2-2. Quels sont les médias supportés ?▲

2-3. Comment accéder aux interfaces ?▲

$ xhost +local:
$ su
Password:
# wireshark &

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL) ALL

etu    ALL = NOPASSWD: /usr/bin/wireshark, /usr/bin/tshark

$ sudo wireshark &

# addgroup --system pcap
Adding group `pcap' (GID 136) ...
Done.

# adduser phil pcap
Adding user `phil' to group `pcap' ...
Adding user phil to group pcap
Done.

# ls -lh `which dumpcap`
-rwxr-xr-x 1 root root 62K  4 mars  18:04 /usr/bin/dumpcap

# chgrp pcap /usr/bin/dumpcap
# chmod 750 /usr/bin/dumpcap
# ls -lh /usr/bin/dumpcap
-rwxr-x--- 1 root pcap 62K  4 mars  18:04 /usr/bin/dumpcap

# dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap
# dpkg-statoverride --list /usr/bin/dumpcap
root pcap 750 /usr/bin/dumpcap

# setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# getcap /usr/bin/dumpcap
/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip

L'interface de l'analyseur se décompose en plusieurs barres ou fenêtres.

Barre de menus

On y retrouve la liste classique de menus. Voici une liste des fonctions remarquables accessibles à partir de ces menus.

• Le menu File sert à sauvegarder ou charger un fichier de capture réseau. Une capture peut très bien avoir été réalisée sur une sonde distante ou avec un autre outil et être analysée avec Wireshark à postériori.
• Le menu Capture sert à fixer les paramètres d'une nouvelle capture réseau. Voir Section 4, « Capture d'une série de trame ».
• Le menu Statistics sert à effectuer différents calculs sur les volumes de données et la répartition des protocoles.

Barre des icônes

Cette barre regroupe tous les raccourcis sur les manipulations d'une capture.

Barre de filtrage

Cette barre sert à saisir l'expression de filtrage à postériori d'une capture pour isoler tout ou partie d'un échange réseau.

Fenêtre contenant la liste des trames capturées

Sur chaque ligne, on retrouve :

• le numéro du paquet ;
• son temps de capture ;
• sa source ;
• sa destination ;
• le protocole de plus haut niveau décodé ;
• le résumé des champs caractéristiques de ce protocole.

Fenêtre d'affichage de la pile des protocoles décodés pour la trame sélectionnée

Avant toute opération de développement des champs d'un ou plusieurs protocoles, cette fenêtre donne la liste de la pile de protocoles décodés allant du niveau physique (en haut) jusqu'au niveau le plus haut reconnu (en bas). Le protocole de niveau le plus haut reconnu est celui qui apparaît dans la colonne protocole de la Fenêtre contenant la liste des trames capturées.

• La première ligne ou niveau Frame correspond à une pseudocouche physique. Comme il n'est pas possible de réaliser la capture directement à partir des composants électroniques qui pilotent l'interface réseau sans perturber le fonctionnement du système, l'opération a lieu au niveau liaison à l'aide de la bibliothèque libpcap. À ce niveau, les informations disponibles sont : la quantité de bits capturés et la date de capture.
• La deuxième ligne correspond au niveau liaison. On y détaille le type, les champs de la trame et les adresses physiques.
• La troisième ligne correspond au niveau réseau. On y détaille les champs du protocole réseau reconnu : adresses logiques et indicateurs d'état.
• La quatrième ligne correspond au niveau transport. On y détaille les champs du protocole de transport reconnu : état de la connexion, numéros de ports utilisés et diverses options.
• La cinquième ligne correspond au niveau application. On y trouve les données utilisateur.

Pour le développement de chacun des champs de la trame, il faut cliquer sur le triangle situé à gauche au niveau de chaque couche.

Fenêtre d'affichage brut de la trame sélectionnée

Cette fenêtre affiche tous les octets de la trame en hexadécimal.

Après avoir lancé le logiciel Wireshark, opérez la séquence suivante pour capturer une série de 60 trames :

1. Sélectionnez Capture puis Start ;

2. La ligne Capture Filter permet de préciser un filtrage à priori. La syntaxe de ce filtrage est identique à celle de la commande tcpdump. La documentation est disponible à partir des pages de manuels de cette commande : man tcpdump. Voici trois exemples :
   
   D'une façon plus générale, on peut combiner plusieurs critères avec les opérateurs logiques and et|ou or.
   
   En règle générale, il faut limiter au maximum le filtrage à priori de façon à disposer du maximum d'informations pour l'analyse. La syntaxe de la Section 5, « Filtrage de l'affichage après capture » offre beaucoup plus de possibilités.

   1. IP : en spécifiant le protocole réseau à analyser, on évite la capture des trames des autres protocoles de niveau réseau (IPX) et des protocoles de niveau liaison (STP, CDP, etc.),
   2. Host 192.168.0.1 : en spécifiant l'adresse IP d'un hôte, on ne retient que le trafic émis et reçu par cette adresse,
   3. Host 192.168.0.1 and host 10.0.0.1 : en spécifiant les adresses IP de deux hôtes, on ne retient que le trafic entre ces deux adresses :
   1. Le type : host, net et port,
   2. La direction : src et dst,
   3. Le protocole : ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp et udp ;
3. La rubrique Stop Capture permet de fixer plusieurs critères d'arrêt en fonction du nombre de trames et|ou du volume de données capturées ;
4. Cliquez sur le bouton Valider pour lancer la capture.

Le filtrage à postériori est certainement l'étape la plus importante dans l'analyse réseau. C'est cette opération qui permet d'isoler l'information pertinente. La granularité de la syntaxe de filtrage disponible avec Wireshark est très importante. Il est possible de retenir un champ unique parmi les 820 protocoles supportés. Voici quelques exemples de filtrage allant du plus général au plus détaillé.

5-1. Isoler une connexion TCP▲

Après avoir réalisé une capture, il est possible d'isoler une connexion TCP en repérant son établissement (le début) et sa libération (la fin). En cliquant sur le bouton droit de la souris après avoir sélectionné n'importe quelle trame appartenant à la connexion à isoler, il faut valider l'option Follow TCP Stream.

À la suite de cette opération, Wireshark ouvre une nouvelle fenêtre contenant les données vues de la couche transport.

5-2. Syntaxe du filtrage à postériori▲

Comme indiqué ci-avant, la granularité de la syntaxe de filtrage est très importante. Elle peut donc s'avérer très complexe à manipuler. Wireshark offre plusieurs solutions pour rendre l'apprentissage de cette syntaxe interactif.

Tout d'abord, l'opération précédente de filtrage simplifié (voir Section 5.1, « Isoler une connexion TCP ») n'était qu'un cas particulier de saisie interactive de filtre de capture. En sélectionnant l'option Follow TCP Stream, on a « saisi » un filtre avec la syntaxe suivante :

 

Sélectionnez

(ip.addr(1) eq 192.168.1.9(2) and ip.addr eq 80.247.225.35) \
and(3) (tcp.port(4) eq 32783(5) and tcp.port eq 80)

Cette expression est extraite de la barre de filtrage. Elle doit tenir sur une ligne unique, quelle que soit sa longueur.

	ip.addr : sélection d'une adresse IP ;
	eq 192.168.1.9 : valeur particulière d'adresse IP. L'opérateur eq correspond à un test d'égalité. Il est aussi possible d'utiliser la syntaxe du langage C pour les tests : == : égalité, != : différence, >= : supérieur ou égal, <= : inférieur ou égal ;
	Les opérateurs logiques tels que and et|ou or associés aux parenthèses servent à composer des expressions de sélection précises ;
	tcp.port : sélection d'un numéro de port du protocole TCP de la couche transport ;
	eq 32783 : valeur particulière de port TCP. La syntaxe de test est identique pour tous les champs des différents protocoles reconnus.

La construction interactive des filtres d'affichage peut se faire à l'aide de la souris. Voici deux exemples «simplistes».

Option TCP MSS

Admettons que l'on veuille repérer toutes les trames capturées dans lesquelles l'option MSS (Maximum Segment Size) apparaît. On développe alors l'en-tête TCP d'un paquet correspondant à une demande de connexion pour faire apparaître cette option. En cliquant sur le bouton droit de la souris, on accède au menu Prepare a Filter.

L'expression préparée apparaît dans le champ de la barre de filtrage :

 

Sélectionnez

tcp.options.mss_val == 1460

Supposons maintenant que l'on veuille afficher toutes les trames ayant cette option indépendamment de sa valeur. Il suffit alors de supprimer le test :

 

Sélectionnez

tcp.options.mss_val

Fragmentation IP

Admettons que l'on veuille observer la fragmentation IP en repérant les champs correspondants de l'en-tête des paquets IP. Tout d'abord, il faut «provoquer» la fragmentation IP artificiellement. On utilise deux hôtes avec chacun une interface Ethernet et un hub. En réduisant la taille maximum des données transmises par paquet (Maximum Transmit Unit) sur l'interface Ethernet d'un hôte, on observe plus facilement les effets de la fragmentation.

 

Sélectionnez

  __________
 |_=_=_=_=_// Hub
   |     |
  /       \_______
  |.....          \
.------,~         |.....
|Hote_A|'       .------,~
|      ||       |Hote_B|'
\------ /       |      ||
 ======/        \------ /
192.168.254.128  ======/
                192.168.254.2

Hote_A # ifconfig eth0 mtu 256
Hote_A # ping -s 128 -c 5 192.168.254.2
PING 192.168.254.2 (192.168.254.2) 128(156) bytes of data.
136 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=0.591 ms
136 bytes from 192.168.254.2: icmp_seq=2 ttl=64 time=0.528 ms
136 bytes from 192.168.254.2: icmp_seq=3 ttl=64 time=0.554 ms
136 bytes from 192.168.254.2: icmp_seq=4 ttl=64 time=0.545 ms
136 bytes from 192.168.254.2: icmp_seq=5 ttl=64 time=0.546 ms

--- 192.168.254.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.528/0.552/0.591/0.036 ms
Hote_A # ping -s 8192 -c 5 192.168.254.2
PING 192.168.254.2 (192.168.254.2) 8192(8220) bytes of data.
8200 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=2 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=3 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=4 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=5 ttl=64 time=15.4 ms

--- 192.168.254.2 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 15.444/15.462/15.481/0.079 ms

On observe ensuite le résultat sur l'affichage des trames capturées. La syntaxe du filtre est :

 

Sélectionnez

ip.flags.df == 0

Connaissant maintenant la syntaxe d'identification de la fragmentation IP, il sera toujours possible d'appliquer le même filtre sur une capture beaucoup plus importante en volume.

5-3. Documentation de référence sur les filtres d'affichage▲

Lorsque l'on exploite une infrastructure de serveurs avec plusieurs périmètres réseau cloisonnés, il est fréquent de devoir procéder à des captures réseau à distance. De plus, la plupart des serveurs récents sont des lames qui n'ont ni clavier ni écran. Voici donc un exemple de scénario capture réseau réalisée sur un hôte distant exploitée ensuite sur un poste de travail ayant une interface graphique.

Dans la série de copies d'écran ci-après, on considère les éléments suivants :

• le poste de travail sur lequel l'analyse est effectuée en mode graphique après collecte du fichier de capture est appelé <my_laptop.myothernet> ;
• le serveur lame sans écran ni clavier sur lequel la capture réseau est réalisée est appelé <my_distant_server.mynet>. On y accède via une console sécurisée SSH ;
• on suppose que les deux hôtes ont un compte utilisateur me. Le compte utilisateur sur le serveur doit disposer des droits nécessaires à la capture de trames sur les interfaces réseau du serveur. Ces droits sont gérés avec sudo ;
• on utilise l'application tshark qui permet d'exécuter l'analyse réseau directement à la console sans recours à une interface graphique. Cette application est fournie par le paquet Debian du même nom. Voir le résultat de la commande $ apt-cache show tshark pour obtenir les informations sur ce paquet ;
• les indications données ci-dessous ne peuvent se substituer aux pages du manuel de l'application. Il est vivement conseillé de les consulter pour adapter l'analyse réseau à ses besoins : man tshark.

Connexion au serveur depuis le poste de travail

Comme indiqué ci-avant, on accède au serveur via une console sécurisée SSH. À partir de Windoze, l'outil putty permet d'effectuer la même opération.

me@<my_laptop>:~$ ssh me@<my_distant_server.mynet>

Linux <my_distant_server> 2.6.15 #1 SMP Mon Mar 13 14:54:19 CET 2006 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
No mail.
Last login: Tue Mar 21 10:45:38 2006 from <my_laptop.myothernet>

me@<my_distant_server>:~$

Lancement de la capture réseau dans un nouveau shell

Un utilisateur «normal» n'ayant pas les droits suffisants pour accéder directement aux interfaces réseau, on doit lancer l'analyseur de réseau via sudo : $ sudo tshark.

On lance cette commande dans un nouveau shell en ajoutant le symbole & à la fin de la ligne. De cette façon, on conserve la possibilité de lancer d'autres commandes sur la console obtenue lors de la connexion au serveur.

me@<my_distant_server>:~$ sudo tshark -q -i _eth0 -w distant.cap \
  -a filesize:4096 tcp and ! host <my_laptop.myothernet> &

• L'option -q rend la capture «silencieuse». Il s'agit surtout de supprimer l'affichage du compte des paquets enregistrés pendant la capture. Cet affichage est gênant si l'on souhaite conserver la console pour effectuer d'autres manipulations en cours de capture.
• L'option -i _eth0 désigne l'interface réseau sur laquelle la capture est réalisée.
• L'option -w distant.cap désigne le fichier dans lequel les paquets capturés sont enregistrés. Sans spécification du format de fichier avec l'option -F, les paquets capturés sont enregistrés directement (mode raw).
• L'option -a filesize:4096 donne le critère d'arrêt de l'enregistrement. Ici, le critère retenu est la taille du fichier de capture. Cette taille est comptabilisée en multiple du kilooctet (1 024 octets) ; soit 4 096 ko dans cet exemple.
• Les options suivantes correspondent au filtrage à priori des paquets à enregistrer. On spécifie le protocole de transport TCP et on n'enregistre pas les paquets de l'hôte qui a ouvert la console sécurisée : ! host <my_laptop.myothernet>. Sans cette dernière précaution, l'enregistrement ne contiendra pratiquement que les échanges SSH. Ces échanges sont sans intérêt puisqu'ils correspondent aux communications entre les deux hôtes utilisés pour l'analyse distante.

«Initiation» du trafic réseau à capturer.

Cette commande n'est qu'un prétexte pour remplir le fichier de capture. Avec le téléchargement d'une image des sources du noyau Linux, on est sûr de faire transiter un volume suffisant ;-).

me@<my_distant_server>:~$ wget \
  http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.16.tar.bz2
--11:14:29--  http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.16.tar.bz2
           => `linux-2.6.16.tar.bz2'
Résolution de kernel.org... 204.152.191.5, 204.152.191.37
Connexion vers kernel.org|204.152.191.5|:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 40 845 005 (39M) [application/x-bzip2]

100%[===============//=====================>] 40 845 005   296.19K/s    ETA 00:00

11:16:58 (292.09 KB/s) - « linux-2.6.16.tar.bz2 » sauvegardé [40845005/40845005]

Fin de la capture et visualisation du fichier

Comme indiqué ci-avant, l'enregistrement s'arrête lorsque le fichier atteint la taille de 4 096 ko.

[1]+  Done  sudo tshark -q -i _eth0 -w distant.cap \
                 -a filesize:4096 tcp and ! host <my_laptop.myothernet>

me@<my_distant_server>:~$ ls -lAh
-rw-------  1 root latu   4,1M 2006-03-21 11:14 distant.cap
-rw-r--r--  1 latu latu    39M 2006-03-20 07:22 linux-2.6.16.tar.bz2

me@<my_distant_server>:~$ sudo chmod 640 distant.cap

me@<my_distant_server>:~$ exit
logout
Connection to <my_distant_server.mynet> closed.

L'enregistrement sur fichier ayant été réalisé avec l'identité du super-utilisateur via la commande sudo, il faut changer le masque des permissions de ce fichier ou son propriétaire. Dans cet exemple, c'est le masque des permissions d'accès qui a été étendu pour que l'utilisateur normal puisse lire le fichier de capture et le transférer sur son poste de travail.

Récupération du fichier de capture sur le poste de travail

me@<my_laptop>:~$ scp me@<my_distant_server.mynet>:~/distant.cap .
distant.cap                                      100% 4097KB 682.8KB/s   00:06

me@<my_laptop>:~$ wireshark -r distant.cap

La commande scp illustre le transfert du fichier de capture réseau via SSH. On peut effectuer la même opération à partir de Windoze avec l'outil WinSCP.

Enfin, il est possible de lire le fichier de capture directement au lancement de l'analyseur réseau avec l'option -r.

7-1. Protocoles étudiés▲

7-2. Marche à suivre▲

7-3. Analyse des protocoles▲

8-1. Protocoles et outils étudiés▲

8-2. 8.2. Marche à suivre▲

8-3. Analyse avec ping▲

8-4. Analyse avec (tcp)traceroute▲

Guide de l'utilisateur

• Le Wireshark User's Guide est la référence la plus complète sur l'utilisation de notre analyseur de trafic favori !

Protocoles

• Le fichier PDF TCP/IP and tcpdump Pocket Reference Guide est une «antisèche» sur les champs des en-têtes des protocoles essentiels ; un document indispensable pour la pratique de l'analyse réseau.

Travaux pratiques

• Le support Configuration d'une interface de réseau local présente les opérations de configuration d'une interface réseau et propose une exploitation des protocoles TCP/IP et ICMP sans recours à un analyseur réseau.
• Le chapitre Using Ethereal - Chapter 4 of Ethereal packet sniffing est un extrait de livre consacré à la version antérieure de l'analyseur de trafic réseau.
• Le site Ethereal Labs présente d'autres travaux pratiques basés sur Ethereal, la version antérieure de l'analyseur de trafic réseau.

L'équipe Réseaux remercie Philippe Latu pour la rédaction de ce tutoriel.

Nos remerciements à milkoseck et à ClaudeLELOUP pour leur relecture orthographique.

N'hésitez pas à commenter cet article ! Commentez