Au-delà de Linux® From Scratch - Version 7.8;

Chapitre 16. Outils réseaux

Wireshark-1.12.7

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture.

Wireshark fournit à la fois un mode graphique et un front-end TTY-mode pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.8.

Informations sur le paquet

Téléchargements additionnels

Dépendances de Wireshark

Requis

GLib-2.44.1 (pour ne construire que l'interface en mode ligne de commande)

Recommandés

GTK+-3.16.6 (pour contruire l'interface Gtk+3 ) et libpcap-1.7.4 (requis pour capturer les données)

Facultatives

GnuTLS-3.4.4.1, libgcrypt-1.6.3, Lua-5.3.1, MIT Kerberos V5-1.13.2, OpenSSL-1.0.2d, adns, GeoIP, and PortAudio

Facultatives (pour construire plus d'interfaces graphiques)

gtk+-2.24.28, Qt-4.8.7 ou Qt-5.5.0

[Note]

Note

L'interface GTK+ demande soit gtk+-2.24.28 ou GTK+-3.16.6. Si les deux sont installés, GTK+3 est utilisé par défaut.

L'interface Qt deamnde soit Qt-4.8.7 ou Qt-5.5.0. Si les deux sont installés, Qt5 est utilisé par défaut.

Les interfaces GTK+ et Qt peuvent être construite en même temps. Si vous voulez écraser les valeurs par défaut, quelques paramètres de configure doivent être initialisés (voir « Explications des commances ») ou quelques instructions spéciales doivent être tapées (voir dessous) quand Qt4 et Qt5 sont installés et que vous voulez utiliser Qt4. SBU et l'espace disque requis sont plus important pour l'interface Qt. Les instructions suivantes supposent que vous voulez seulement construire l'interface GTK+3.

Notes d'utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau: 

[*] Networking support --->          [CONFIG_NET]
      Networking options --->
        <*/M> Packet socket          [CONFIG_PACKET]

Si la construction est faite en tant qu'un module, le nom est af_packet.ko.

Installation de Wireshark

Éventuellement, corrigez la description du programme dans titre. Le premier changement écrase le « SVN Unknown » (SVN inconnu) par défaut dans le titre et le second écrase un script qui réinitialise la version à to « unknown » (inconnue). 

cat > svnversion.h << "EOF" &&
#define SVNVERSION "BLFS"
#define SVNPATH "source"
EOF
cat > make-version.pl << "EOF"
#!/usr/bin/perl
EOF

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root : 

groupadd -g 62 wireshark

Si vous voulez construire une interface Qt (voir « Explications des commandes »), pour une interface Qt5, tapez: 

source setqt5 &&
sed -e 's/"-fPIE"/""/' \
    -e 's/"-pie"/""/'  \
    -i configure

et ajoutez CXXFLAGS="-fPIC" à la ligen de configuration, ou, pour l'interface Qt4, tapez : 

source setqt4 &&
sed -i 's/Qt5 Qt/Qt/' configure

Continuez à installer Wireshark en lançant les commandes suivantes : 

patch -Np1 -i ../wireshark-1.12.7-lua_5_3_0-1.patch  &&
./configure --prefix=/usr     \
            --with-gtk3       \
            --without-qt      \
            --sysconfdir=/etc &&
make

Ce paquet n'est pas livré avec une suite de test

Maintenant, en tant qu'utilisateur root : 

make install &&
install -v -m755 -d /usr/share/doc/wireshark-1.12.7 &&
install -v -m755 -d /usr/share/pixmaps/wireshark &&
install -v -m644    README{,.linux} doc/README.* doc/*.{pod,txt} \
                    /usr/share/doc/wireshark-1.12.7 &&
pushd /usr/share/doc/wireshark-1.12.7 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd &&
unset FILENAME
install -v -m644 -D wireshark.desktop \
                    /usr/share/applications/wireshark.desktop &&
install -v -m644 -D image/wsicon48.png \
                    /usr/share/pixmaps/wireshark.png &&
install -v -m644    image/*.{png,ico,xpm,bmp} \
                    /usr/share/pixmaps/wireshark

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez les en suivant les commandes suivantes en tant qu'utilisateur root : 

install -v -m644 <Downloaded_Files> \
                 /usr/share/doc/wireshark-1.12.7

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root : 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Enfin, ajoutez les utilisateurs au groupe wireshark (en tant qu'utilisateur root): 

usermod -a -G wireshark <username>

Explication des commandes

sed -e 's/"-fPIE"/""/' ... configure: Cette commande est requise pour Qt-5.5, car il est nécéssaire de compiler avec CXXFLAGS="-fPIC".

sed -i 's/Qt5 Qt/Qt/' ...: Cette commande est requise car sans elle, les bibliothèques et include de Qt5 sont trouvés et utilisés en premier, si les deux versions sont installées, quand on tente de construire avec Qt4, et que make ne se termine pas.

--with-gtk3: Par défaut, la machine de construction construira une interface pour Qt et GTK+, si ces bibliothèques sont trouvées. Si Qt est installé et que vous ne voulez pas que l'interface soit créé, vous devez passer --without-qt au script configure. Cela écrasera les valeurs par défaut, et vous devrez passer --with-gtk3 ou --with-gtk2 pour avoir l'insterface GTK+ de construite.

--without-qt: désactive la construction de l'interface Qt.

--disable-wireshark: Cette option est requise si vous avez installé GTK+ mais ne voulez pas construire les interfaces.

--with-gtk2: Utilisez cette option si vous voulez l'interface GTK+2 Notez que l'interface graphique pour seulement une version de GTK+ (soit 2 ou 3) peut être construite.

Configurer Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.wireshark/*

Informations de configuration

Si les paramètres de configuration par défaut sont très clairs, reportez vous à la section de configuration du Guide de l'utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu des interfaces graphiques de wireshark.

Fichier de bureau pour l'interface Qt

Si l'interface Qt est construite et que vous souhaitez une entrée dans le menu du bureau, il y a deux possibilités (les instructions doivent être exécutées en tant que root).

Si seulement l'interface Qt est construite: 

mv -v /usr/share/applications/wireshark.desktop \
      /usr/share/applications/wireshark-qt.desktop

Si les deux interfaces GTK+ et Qt sont construites: 

cp -v /usr/share/applications/wireshark.desktop \
      /usr/share/applications/wireshark-qt.desktop

Maintenant corriger pour wireshark-qt: 

sed -e 's/ireshark/&-qt/' \
    -e 's/^\(Icon=wireshark\)-qt/\1/' \
    -i /usr/share/applications/wireshark-qt.desktop
[Note]

Note

Si vous voulez regarder les paquets, assurez vous que vous ne les filtrez pas avec iptables-1.4.21. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, captype, dftest, dumpcap, editcap, mergecap, randpkt, rawshark, reordercap, text2pcap, tshark, wireshark et facultativement wireshark-qt
Bibliothèques installées: libfiletap.so, libwireshark.so, libwiretap.so, libwsutil.so, et de nombreux modules dans /usr/lib/wireshark/plugins
Répertoires installés: /usr/lib/wireshark, /usr/share/doc/wireshark-1.12.7, /usr/share/pixmaps/wireshark et /usr/share/wireshark

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark.

captype

affiche les types de fichier des fichiers de capture.

dftest

est un programme test d'affichage-filtrage-compilation.

dumpcap

est un outil de vidage de traffic réseau. Il vous permet de capturer en direct les paquets de données d'un réseau et écrire ces paquets dans un fichier.

editcap

édite et/ou traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format.

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie.

randpkt

crée des fichiers de capture de paquets aléatoires.

rawshark

crée et analyse des données raw libpcap.

reordercap

re-arrange les marqueurs de temps des paquets d'un fichier d'entrée vers un fichier de sortie.

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap.

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment.

wireshark

est l'interface GTK+ de l'analyseur de protocole réseau. Il vous permet de parcourir intéractivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

wireshark-qt

est l'interface Qt de l'analyseur de protocole réseau. Il vous permet de parcourir intéractivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

libwireshark.so

contient les fonctions utilisés par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets.

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap.

Last updated on : 2013-02-11 19:51:17 +010