l'Internet

Comment filtrer par IP dans Wireshark

Les administrateurs réseau rencontrent un large éventail de problèmes de réseau lors de leur travail. Chaque fois qu'il y a une action suspecte ou qu'il est nécessaire d'évaluer un segment de réseau particulier, des outils d'analyse de protocole tels que Wireshark peuvent s'avérer utiles. Une fonctionnalité particulièrement utile est le filtrage des paquets réseau par adresses IP.

Comment filtrer par IP dans Wireshark

Si vous êtes un utilisateur novice, vous trouverez peut-être un peu difficile de configurer vous-même les étapes pour le faire. Heureusement, nous avons rassemblé ce guide ultime sur la façon de filtrer par IP dans Wireshark. Vous repartirez en connaissant la différence entre ses deux langages de filtrage, en apprenant de nouvelles chaînes de filtrage et bien plus encore.

La meilleure chose est que vous n'aurez besoin d'aide pour effectuer ces étapes que la première fois. Chaque représentation suivante sera un jeu d'enfant !

Qu'est-ce que Wireshark ?

Wireshark est un analyseur de paquets réseau qui domine l'espace de l'industrie depuis un certain temps maintenant. Cela a été formidable jusqu'à ce que de nombreux outils similaires soient mis de côté, y compris Microsoft Network Monitor. Les deux principales caractéristiques qui ont fait la renommée de Wireshark sont sa flexibilité et sa facilité d'utilisation.

Les analyseurs de paquets réseau sont des outils qui capturent et analysent le trafic de données de manière aussi détaillée que possible dans des canaux de communication spécifiques. Ils servent d'outils de diagnostic ultimes pour les systèmes embarqués.

Wireshark est doté de la capacité de premier ordre de filtrer les paquets pendant la capture et lors de l'analyse avec différents niveaux de complexité. Cela le rend aussi pratique pour les débutants que pour les professionnels de la surveillance de réseau. Wireshark ingère et analyse également le trafic provenant de divers autres analyseurs de protocoles, ce qui facilite l'examen du trafic passé à des moments spécifiques dans le passé.

Avant Wireshark, les outils de suivi de réseau étaient très coûteux ou propriétaires. Tout a changé avec l'avènement de cette application. Le logiciel est open source et prend en charge toutes les principales plates-formes. Cela a apporté à Wireshark beaucoup de soutien de la communauté, ce qui a supprimé le coût en tant qu'obstacle et a fait de la place pour un large éventail d'opportunités de formation.

Voici pourquoi les gens peuvent vouloir utiliser Wireshark :

  • Dépannage des problèmes de réseau
  • Examen des problèmes de sécurité
  • Examen des applications réseau
  • Implémentations de protocole de débogage
  • En savoir plus sur les internes du protocole réseau

Wireshark est téléchargeable gratuitement. Si vous ne l'avez toujours pas fait, vous pouvez le faire ici. Il suffit de télécharger l'exécutable et de cliquer sur le fichier pour l'installer.

L'interface utilisateur de Wireshark

Après avoir téléchargé et installé Wireshark, vous pouvez y accéder à partir de votre shell local ou de votre gestionnaire de fenêtres. L'une des premières choses que vous devez faire est de choisir une interface réseau dans la liste des réseaux sur les adaptateurs de votre ordinateur.

Vous pouvez cliquer sur « Capturer », puis « Interfaces » dans le menu et choisir l'option appropriée.

La fenêtre principale de l'interface Wireshark se compose de plusieurs parties :

  • Menu - utilisé pour démarrer des actions
  • Barre d'outils principale - accès rapide aux éléments que vous utilisez souvent à partir du menu
  • Barre d'outils Filtre - vous pouvez définir des filtres d'affichage ici
  • Volet de liste de paquets - résumés de paquets capturés
  • Volet Détails - plus d'informations sur le paquet sélectionné à partir de la voie de paquets
  • Volet d'octets - données du paquet du volet de liste de paquets, mettant en évidence le champ choisi dans ce volet
  • Barre d'état - données capturées et informations sur l'état du programme en cours

Vous pouvez contrôler les listes de paquets et parcourir les détails entièrement avec votre clavier. Il y a un tableau montrant les commandes de raccourci clavier courantes ici.

Comment ajouter des filtres dans Wireshark ?

La barre d'outils « Filtre » est l'endroit où vous pouvez personnaliser et exécuter de nouveaux filtres d'affichage.

Pour créer et modifier des filtres de capture, accédez à « Gérer les filtres de capture » ​​dans le menu des signets ou accédez à « Capturer », puis « Filtres de capture » ​​dans le menu principal.

Pour créer et modifier des filtres d'affichage, sélectionnez « Gérer les filtres d'affichage » dans le menu des signets ou accédez au menu principal et sélectionnez « Analyser », puis « Filtres d'affichage ».

Vous verrez une section d'entrée de filtre avec un fond vert. Il s'agit de la zone dans laquelle vous saisissez et modifiez les chaînes de filtre d'affichage. C'est également là que vous pouvez voir le filtre actuellement appliqué. Cliquez simplement sur le nom du filtre ou double-cliquez sur la chaîne pour la modifier.

Au fur et à mesure que vous écrivez, le système effectuera une vérification du système de la chaîne de filtrage. Si vous entrez une valeur invalide, l'arrière-plan passe du vert au rouge. Appuyez toujours sur le bouton « Appliquer » ou sur la touche « Entrée » pour appliquer la chaîne de filtre.

Vous pouvez ajouter un nouveau filtre en cliquant sur le bouton « Ajouter », qui est un signe plus noir sur un fond gris clair. Une autre façon d'ajouter un nouveau filtre consiste à cliquer avec le bouton droit sur la zone du bouton de filtre. Pour supprimer un filtre, cliquez sur le bouton moins. Le bouton moins sera grisé si aucun filtre n'est sélectionné.

Comment filtrer par adresse IP dans Wireshark ?

Une excellente caractéristique de Wireshark est qu'il vous permet de filtrer les paquets par adresses IP. Suivez simplement les étapes ci-dessous pour savoir comment procéder :

  1. Commencez par cliquer sur le bouton plus pour ajouter un nouveau filtre d'affichage.

  2. Exécutez l'opération suivante dans la zone Filtre : ip.addr==[adresse IP] et appuyez sur Entrée.

  3. Notez que Packet List Lane filtre désormais uniquement le trafic qui va vers (destination) et depuis (source) l'adresse IP que vous avez entrée.

  4. Pour effacer le filtre, cliquez sur le bouton « Effacer » dans la barre d'outils Filtre.

IP source

Vous pouvez restreindre la vue des paquets à ceux avec des adresses IP source particulières qui apparaissent dans ce filtre. Exécutez simplement la commande suivante dans la zone de filtrage et appuyez sur Entrée :

ip.src == [adresse IP]

IP de destination

Vous pouvez appliquer des filtres de destination pour restreindre l'affichage des paquets à ceux dont l'adresse IP de destination spécifique apparaît dans le filtre.

La commande est la suivante :

ip.dst == [adresse IP]

Filtre de capture vs filtre d'affichage

Wireshark prend en charge deux langages de filtrage : les filtres de capture et les filtres d'affichage. Le premier est utilisé pour le filtrage lors de la capture de paquets. Ce dernier filtre les paquets affichés. Avec les filtres d'affichage, vous pouvez vous concentrer sur les paquets qui vous intéressent et masquer ceux qui ne sont pas importants actuellement. Vous pouvez afficher les paquets en fonction de plusieurs facteurs :

  • Protocole
  • Présence sur le terrain
  • Valeurs de champ
  • Comparaison de terrain

Les filtres d'affichage utilisent une syntaxe d'opérateur booléen et des champs qui décrivent les paquets que vous filtrez. Une fois que vous avez créé quelques filtres d'affichage, il devient facile de les écrire. Les filtres de capture sont un peu moins intuitifs car ils sont cryptiques.

Voici un aperçu des fonctionnalités et des utilisations de chaque filtre :

Filtres de capture :

  • Ils sont définis avant de commencer à capter le trafic
  • Impossible à modifier lors de la capture de trafic
  • Utilisé pour la capture de type de trafic spécifique

Filtres d'affichage :

  • Ils réduisent les paquets qui s'affichent dans Wireshark
  • Peut être personnalisé lors de la capture du trafic
  • Utilisé pour masquer le trafic afin d'évaluer des types de trafic spécifiques

Pour plus d'informations sur le filtrage lors de la capture, visitez cette page.

FAQ supplémentaires

Comment filtrer Wireshark par URL ?

Vous pouvez rechercher des URL HTTP données dans la capture dans Wireshark en utilisant la chaîne de filtre suivante :

http contient "[URL]. "

Notez que vous ne pouvez pas utiliser les opérateurs "contient" sur les champs atomiques (nombres, adresses IP.)

Comment filtrer Wireshark par numéro de port ?

Vous pouvez utiliser la commande suivante pour filtrer Wireshark par numéro de port :

Tcp.port eq [numéro de port].

Comment fonctionne Wireshark ?

Wireshark est un outil de reniflage de paquets réseau. Il analyse les paquets réseau en prenant une connexion Internet et en enregistrant les paquets qui la traversent. Il fournit ensuite aux utilisateurs les informations sur ces paquets, y compris leur origine, destination, contenu, protocoles, messages, etc.

Aller 007 sur le reniflage de réseau

Grâce à Wireshark, les ingénieurs réseau et les administrateurs n'ont plus à craindre de manquer des outils de diagnostic pour les problèmes de réseau essentiels. Les fonctionnalités facilement accessibles et pratiques du programme facilitent grandement l'évaluation des vulnérabilités du réseau et le dépannage.

Après avoir lu notre article, vous devriez maintenant être en mesure de faire la différence entre les différentes options de filtrage du programme liées au filtrage IP. Vous avez également appris les expressions de chaîne de base pour le filtrage par IP et bien plus encore. Espérons que cela aidera à résoudre tous les problèmes de réseau que vous pourriez rencontrer.

Quelles autres fonctionnalités utilisez-vous souvent dans Wireshark ? Selon vous, qu'est-ce qui distingue Wireshark de la concurrence ? Partagez vos pensées dans la section des commentaires ci-dessous.