Wireshark

De knowledge
Aller à la navigation Aller à la recherche

Le logiciel

Wireshark est un logiciel assez redoutable dès que l'on veut comprendre ce qu'il se passe sur un réseau. Il capture affiche et décode toute type communication réseau. Il tourne sur beaucoup de plateformes (Windows, Mac, Linux et même sur un raspberry PI).

Il est assez facile a utiliser mais a besoin de pas mal de ressources, en particulier graphiques. Pour les machines plus "légères" on utilise tcpdump qui est la version CLI et qui fait tout pareil. La page tcpdump de ce wiki décrit comment enregistrer le trafic réseau avec tcpdump et la lire dans Wireshark.

Pour ma part c'est comme ça que je travailles à 90%. J'utilise un routeur WiFi open source / open hardware GL Inet sous Open WRT et ensuite je le regarde sur mon PC Windows.

Usage

La colonne des temps.

Par défaut la colonne des temps est graduée en secondes depuis le début de la trace.

Wireshark time.png

Dans certains cas cela peut avoir du sens mais globalement c'est assez fastidieux de compter en secondes décimales à partir d'un temps inconnu.

Wireshark permet de changer cela. On fait un click droit sur l'intitulé des colonnes.

Wireshark change time scale.png

Et on sélectionne "Column Préférences..." (c'est internationalisé quand ça veut :))

Changetimewireshark.png

On clique sur la seconde ligne "Time" et double clique sur le "type".

Changetimewireshark2.png

Et on choisit soit UTC Time soit Date & Time si on a des traces sur plusieurs jours.

Imagenewtimewireshark.png

Et voila.

Récupérée de « https://knowledge.pinon-hebert.fr/index.php?title=Wireshark&oldid=228 »