Au-delà de Linux® From Scratch (édition System V) - Version 12.2

Chapitre 16. Outils réseaux

Wireshark-4.2.6

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture.

Wireshark fournit à la fois un mode graphique et une interface en TTY pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

Ce paquet est connu pour pouvoir être construit et fonctionner correctement avec une plateform 12.2.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.wireshark.org/download/src/all-versions/wireshark-4.2.6.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : e118da25ca399111a4e5d947385c7c79

  • Taille du téléchargement : 43 Mo

  • Estimation de l'espace disque requis : 743 Mo (171 Mo installés)

  • Estimation du temps de construction : 2,4 SBU (avec parallélisme=4)

Téléchargements supplémentaires

Dépendances de Wireshark

Requises

CMake-3.30.2, c-ares-1.33.0, GLib-2.80.4, libgcrypt-1.11.0, Qt-6.7.2 et Speex-1.2.1

[Note]

Note

Qt-6.7.2 n'est pas strictement nécessaire, comme il peut être remplacé par Qt5. Voir les « Explications des commandes » plus bas.

Recommandées

libpcap-1.10.4 (requis pour capturer des données)

Facultatives

asciidoctor-2.0.23, Brotli-1.1.0, Doxygen-1.12.0, git-2.46.0, GnuTLS-3.8.7.1, libnl-3.10.0, libxslt-1.1.42, libxml2-2.13.3, Lua-5.2.4, MIT Kerberos V5-1.21.3, nghttp2-1.62.1, qt5-components-5.15.14 avec qtmultimedia (requis Qt-6.7.2 n'est pas installé), SBC-2.0, BCG729, libilbc, libsmi, libssh, MaxMindDB, Minizip, Snappy et Spandsp

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau : 

[*] Networking support --->                                                [NET]
  Networking options --->
    <*/M> Packet socket                                                 [PACKET]

Si la construction est faite en tant qu'un module, le nom est af_packet.ko.

Installation de Wireshark

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root : 

groupadd -g 62 wireshark

Continuez à installer Wireshark en exécutant les commandes suivantes : 

mkdir build &&
cd    build &&

cmake -D CMAKE_INSTALL_PREFIX=/usr \
      -D CMAKE_BUILD_TYPE=Release  \
      -D CMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-4.2.6 \
      -G Ninja \
      .. &&
ninja

Ce paquet n'a pas de suite de tests.

Maintenant, en tant qu'utilisateur root : 

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-4.2.6 &&
install -v -m644    ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-4.2.6 &&

pushd /usr/share/doc/wireshark-4.2.6 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez-les en suivant les commandes suivantes en tant qu'utilisateur root : 

install -v -m644 <Downloaded_Files> \
                 /usr/share/doc/wireshark-4.2.6

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root : 

chown -v root:wireshark /usr/bin/tshark &&
chmod -v 6550 /usr/bin/tshark

Enfin, ajoutez les utilisateurs au groupe wireshark (en tant qu'utilisateur root) : 

usermod -a -G wireshark <username>

Si vous installez wireshark pour la première fois, il sera nécessaire de quitter la session et de se reconnecter. Cela ajoutera wireshark à vos groupes, sans lequel l'application ne tournera pas correctement.

Explication des commandes

-D USE_qt6=OFF : utilisez ce paramètre si Qt-6.7.2 n'est pas disponible. Vous aurez besoin de qt5-components-5.15.14 avec qtmultimedia.

Configuration de Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.config/wireshark/* (à moins qu'il n'y ait déjà ~/.wireshark/* dans le système)

Informations sur la configuration

Même si les paramètres de configuration par défaut sont très bons, rapportez-vous à la section de configuration du Guide utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu des interfaces graphiques de wireshark.

[Note]

Note

Si vous voulez regarder les paquets, assurez-vous que vous ne les filtrez pas avec iptables-1.8.10. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, captype, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark et wireshark
Bibliothèques installées: libwireshark.so, libwiretap.so, libwsutil.so et de nombreux modules dans /usr/lib/wireshark/plugins
Répertoires installés: /usr/{lib,share}/wireshark et /usr/share/doc/wireshark-4.2.6

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark

captype

affiche les types de fichier des fichiers de capture

editcap

édite et traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format

idl2wrs

est un programme qui prend un fichier CORBA IDL spécifié et génère le code source « C » pour un « greffon » Wireshark. Il se base sur deux programmes Python, wireshark_be.py et wireshark_gen.py, qui ne sont pas installés par défaut. Il faut les copier manuellement du répertoire tools vers le répertoire $PYTHONPATH/site-packages/

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie

randpkt

crée des fichiers de capture de paquets aléatoires

rawshark

crée et analyse des données libpcap brutes

reordercap

réarrange les marqueurs de temps des paquets d'un fichier d'entrée vers un fichier de sortie

sharkd

est un démon qui écoute sur les sockets UNIX

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment

wireshark

est l'interface GTK+ de l'analyseur de protocole réseau. Il vous permet de parcourir interactivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment

libwireshark.so

contient les fonctions utilisées par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap