Wireshark-2.4.0
Introduction à Wireshark
Le paquet Wireshark contient un
analyseur de protocole réseau connu aussi sous le nom de
« sniffer ». Ceci est utile
pour analyser les données capturées « hors
connexion » à partir d'une connexion réseau en direct
ou de données lues à partir d'un fichier de capture.
Wireshark fournit à la fois un
mode graphique et une interface en TTY pour examiner les paquets
réseau capturés de plus de 500 protocoles, ainsi que la capacité de
lire des fichiers de capture à partir de nombreux autres analyseurs
de réseau populaires.
Ce paquet est connu pour se construire correctement sur une
plateforme LFS-8.1.
Informations sur le paquet
-
Téléchargement (HTTP) :
https://www.wireshark.org/download/src/all-versions/wireshark-2.4.0.tar.xz
-
Téléchargement (FTP) :
-
Somme de contrôle MD5 du téléchargement :
655106f8cf3bb8f521336d3a8ab5b10b
-
Taille du téléchargement : 27 Mo
-
Estimation de l'espace disque requis : 1.9 Go (avec les
interfaces graphiques par défaut et et toutes les dépendances
facultatives disponibles dans le livre BLFS)
-
Estimation du temps de construction : 10.3 SBU (avec les
interfaces graphiques par défaut et toutes les dépendances
facultatives disponibles dans le livre BLFS)
Téléchargements supplémentaires
Dépendances de Wireshark
Requises
GLib-2.52.3 et libgcrypt-1.8.0
Recommandées
libpcap-1.8.1 (requis pour capturer des
données) et Qt-5.9.1 (pour l'interface Qt5)
Facultatives
c-ares-1.12.0, GnuTLS-3.5.14,
GTK+-3.22.18 ou GTK+-2.24.31 (pour la
vieille interface GTK), libnl-3.3.0, Lua-5.3.4, MIT Kerberos V5-1.15.1, nghttp2-1.25.0, OpenSSL-1.1.0f, SBC-1.3, libsmi, lz4, GeoIP, libssh, PortAudio (pour le lecteur RTP de
GTK+), Snappy et Spandsp
Note
L'interface Qt est construite par défaut, si Qt-5.9.1 est trouvé. Si
vous souhaitez construire l'interface GTK+, quelques paramètres
de configure doivent être initialisés (voir « Explications des commandes »).
Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/wireshark
Configuration
du noyau
Le noyau doit avoir le protocole de paquets (Packet protocol)
activé pour que Wireshark capture
les paquets en direct à partir du réseau :
[*] Networking support ---> [CONFIG_NET]
Networking options --->
<*/M> Packet socket [CONFIG_PACKET]
Si la construction est faite en tant qu'un module, le nom est
af_packet.ko
.
Installation de Wireshark
Wireshark est une application très
grosse et très complexe. Ces instructions donnent les mesures de
sécurité pour garantir que seuls les utilisateurs de confiance
soient autorisés à voir le trafic réseau. Tout d'abord, définissez
le groupe system pour wireshark. En tant qu'utilisateur
root
:
groupadd -g 62 wireshark
Continuez à installer Wireshark en
lançant les commandes suivantes :
patch -Np1 -i ../wireshark-2.4.0-lua_5_3-1.patch &&
./configure --prefix=/usr --sysconfdir=/etc &&
make
Ce paquet n'est pas fourni avec une suite de tests.
Maintenant, en tant qu'utilisateur root
:
make install &&
install -v -m755 -d /usr/share/doc/wireshark-2.4.0 &&
install -v -m644 README{,.linux} doc/README.* doc/*.{pod,txt} \
/usr/share/doc/wireshark-2.4.0 &&
pushd /usr/share/doc/wireshark-2.4.0 &&
for FILENAME in ../../wireshark/*.html; do
ln -s -v -f $FILENAME .
done &&
popd
unset FILENAME
Si vous avez téléchargé un des fichiers de documentation mentionnés
dans 'Téléchargements supplémentaires', installez-les en suivant
les commandes suivantes en tant qu'utilisateur root
:
install -v -m644 <Downloaded_Files>
\
/usr/share/doc/wireshark-2.4.0
Maintenant, définissez le propriétaire et les droits des
applications sensibles pour ne permettre qu'aun utilisateurs
autorisés de l'utiliser. En tant qu'utilisateur root
:
chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}
Enfin, ajoutez les utilisateurs au groupe wireshark (en tant
qu'utilisateur root
) :
usermod -a -G wireshark <username>
Si vous installez wireshark pour la première fois, il sera
nécessaire de quitter la session et de se reconnecter, de sorte que
vous ayez wireshark dans vos groupes, sans lequel l'application ne
tournera pas correctement.
Explication des commandes
--with-gtk=[yes/no/2/3]
: Pour
l'interface Gtk+. La valeur par défaut est « no ». Si
Gtk+2 et 3 sont installés et que « yes » est sélectionné, la valeur par défaut est
3. Évidemment, GTK+-2.24.31 ou GTK+-3.22.18 doivent être
construis pour que cela fonctionne.
--with-qt=[yes/no/4/5]
: Pour
l'interface Qt. La valeur par défaut est yes si Qt-5.9.1 est trouvé sur
le système.
--disable-wireshark
pnbsp;: Utilisez
cette option si vous avez installé Qt mais que vous ne souhaitez construire
aucune interface graphique.
Configuration de Wireshark
Fichiers de
configuration
/etc/wireshark.conf
et ~/.config/wireshark/*
(à moins qu'il n'y ait
déjà ~/.wireshark/*
dans le
système)
Informations sur la configuration
Même si les paramètres de configuration par défaut sont très
clairs, rapportez-vous à la section de configuration du Guide de
l'utilisateur de Wireshark (Wireshark User's Guide) pour les
informations de configuration. La majorité de la configuration de
Wireshark peut être réalisée en
utilisant les options du menu des interfaces graphiques de
wireshark.
Note
Si vous voulez regarder les paquets, assurez-vous que vous ne
les filtrez pas avec Iptables-1.6.1. Si vous voulez exclure
certaines classes de paquets, il est plus efficace de le faire
avec iptables qu'avec
Wireshark.
Contenu
Programmes installés:
capinfos, captype, dftest, dumpcap,
editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap,
sharkd, text2pcap, tshark, wireshark et wireshark-gtk
(facultatif)
Bibliothèques installées:
libwireshark.so, libwiretap.so,
libwscodecs.so (facultatif), libwsutil.so, et de nombreux
modules dans /usr/lib/wireshark/plugins
Répertoires installés:
/usr/{lib,share}/wireshark et
/usr/share/doc/wireshark-2.4.0
Descriptions courtes
capinfos
|
lit un fichier de capture sauvegardé et retourne
certaines ou toutes les différentes statistiques sur ce
fichier. Il est capable de détecter et lire toutes les
captures supportées par le paquet Wireshark.
|
captype
|
affiche les types de fichier des fichiers de capture.
|
dftest
|
est un programme test d'affichage-filtrage-compilation.
|
dumpcap
|
est un outil de vidage de trafic réseau. Il vous permet
de capturer en direct les paquets de données d'un réseau
et écrire ces paquets dans un fichier.
|
editcap
|
édite et traduit le format des fichiers de capture. Il
sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui
capturent dans ce format.
|
mergecap
|
combine de multiples fichiers de capture en un fichier
unique de sortie.
|
randpkt
|
crée des fichiers de capture de paquets aléatoires.
|
rawshark
|
crée et analyse des données raw libpcap.
|
reordercap
|
réarrange les marqueurs de temps des paquets d'un fichier
d'entrée vers un fichier de sortie.
|
sharkd
|
est un démon qui écoute sur les sockets UNIX.
|
text2pcap
|
lit dans une sauvegarde ASCII hexadécimale et écrit les
données décrites dans un fichier de capture de style
libpcap.
|
tshark
|
est un analyseur de protocole réseau mode TTY. Il vous
permet de capturer directement les paquets de donnée à
partir d'un réseau ou lire les paquets à partir d'un
fichier de capture sauvegardé précédemment.
|
wireshark
|
est l'interface GTK+ de l'analyseur de protocole réseau.
Il vous permet de parcourir interactivement en direct les
paquets à partir d'un réseau ou à partir d'un fichier de
capture sauvegardé précédemment.
|
wireshark-gtk
|
est l'interface Qt de l'analyseur de protocole réseau. Il
vous permet de parcourir interactivement en direct les
paquets à partir d'un réseau ou à partir d'un fichier de
capture sauvegardé précédemment.
|
libwireshark.so
|
contient les fonctions utilisées par les programmes de
Wireshark pour effectuer
le filtrage et la capture de paquets.
|
libwiretap.so
|
est une bibliothèque développée afin de remplacer dans le
futur libpcap , la
bibliothèque Unix standard actuelle pour la capture de
paquets. Pour plus d'informations, consultez le fichier
README dans le répertoire
source wiretap .
|
Last updated on 2017-08-29 21:34:24 +0200