Au-delà de Linux® From Scratch (édition systemd) - Version 2017-08-22

Chapitre 16. Outils réseaux

Wireshark-2.4.0

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture.

Wireshark fournit à la fois un mode graphique et une interface en TTY pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-8.0.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.wireshark.org/download/src/all-versions/wireshark-2.4.0.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 du téléchargement : 655106f8cf3bb8f521336d3a8ab5b10b

  • Taille du téléchargement : 27 Mo

  • Estimation de l'espace disque requis : 1.9 Go (avec les interfaces graphiques par défaut et et toutes les dépendances facultatives disponibles dans le livre BLFS)

  • Estimation du temps de construction : 10.3 SBU (avec les interfaces graphiques par défaut et toutes les dépendances facultatives disponibles dans le livre BLFS)

Téléchargements supplémentaires

Dépendances de Wireshark

Requises

GLib-2.52.3 et libgcrypt-1.8.0

Recommandées

libpcap-1.8.1 (requis pour capturer des données) et Qt-5.9.1 (pour l'interface Qt5)

Facultatives

c-ares-1.12.0, GnuTLS-3.5.14, GTK+-3.22.18 ou GTK+-2.24.31 (pour la vieille interface GTK), libnl-3.3.0, Lua-5.3.4, MIT Kerberos V5-1.15.1, nghttp2-1.25.0, OpenSSL-1.1.0f, SBC-1.3, libsmi, lz4, GeoIP, libssh, PortAudio (pour le lecteur RTP de GTK+), Snappy et Spandsp

[Note]

Note

L'interface Qt est construite par défaut, si Qt-5.9.1 est trouvé. Si vous souhaitez construire l'interface GTK+, quelques paramètres de configure doivent être initialisés (voir « Explications des commandes »).

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau : 

[*] Networking support --->          [CONFIG_NET]
      Networking options --->
        <*/M> Packet socket          [CONFIG_PACKET]

Si la construction est faite en tant qu'un module, le nom est af_packet.ko.

Installation de Wireshark

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root : 

groupadd -g 62 wireshark

Continuez à installer Wireshark en lançant les commandes suivantes : 

patch -Np1 -i ../wireshark-2.4.0-lua_5_3-1.patch  &&

./configure --prefix=/usr --sysconfdir=/etc &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root : 

make install &&

install -v -m755 -d /usr/share/doc/wireshark-2.4.0 &&
install -v -m644    README{,.linux} doc/README.* doc/*.{pod,txt} \
                    /usr/share/doc/wireshark-2.4.0 &&

pushd /usr/share/doc/wireshark-2.4.0 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez-les en suivant les commandes suivantes en tant qu'utilisateur root : 

install -v -m644 <Downloaded_Files> \
                 /usr/share/doc/wireshark-2.4.0

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root : 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Enfin, ajoutez les utilisateurs au groupe wireshark (en tant qu'utilisateur root) : 

usermod -a -G wireshark <username>

Si vous installez wireshark pour la première fois, il sera nécessaire de quitter la session et de se reconnecter, de sorte que vous ayez wireshark dans vos groupes, sans lequel l'application ne tournera pas correctement.

Explication des commandes

--with-gtk=[yes/no/2/3] : Pour l'interface Gtk+. La valeur par défaut est « no ». Si Gtk+2 et 3 sont installés et que « yes » est sélectionné, la valeur par défaut est 3. Évidemment, GTK+-2.24.31 ou GTK+-3.22.18 doivent être construis pour que cela fonctionne.

--with-qt=[yes/no/4/5] : Pour l'interface Qt. La valeur par défaut est yes si Qt-5.9.1 est trouvé sur le système.

--disable-wiresharkpnbsp;: Utilisez cette option si vous avez installé Qt mais que vous ne souhaitez construire aucune interface graphique.

Configuration de Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.config/wireshark/* (à moins qu'il n'y ait déjà ~/.wireshark/* dans le système)

Informations sur la configuration

Même si les paramètres de configuration par défaut sont très clairs, rapportez-vous à la section de configuration du Guide de l'utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu des interfaces graphiques de wireshark.

[Note]

Note

Si vous voulez regarder les paquets, assurez-vous que vous ne les filtrez pas avec Iptables-1.6.1. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, captype, dftest, dumpcap, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark, wireshark et wireshark-gtk (facultatif)
Bibliothèques installées: libwireshark.so, libwiretap.so, libwscodecs.so (facultatif), libwsutil.so, et de nombreux modules dans /usr/lib/wireshark/plugins
Répertoires installés: /usr/{lib,share}/wireshark et /usr/share/doc/wireshark-2.4.0

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark.

captype

affiche les types de fichier des fichiers de capture.

dftest

est un programme test d'affichage-filtrage-compilation.

dumpcap

est un outil de vidage de trafic réseau. Il vous permet de capturer en direct les paquets de données d'un réseau et écrire ces paquets dans un fichier.

editcap

édite et traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format.

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie.

randpkt

crée des fichiers de capture de paquets aléatoires.

rawshark

crée et analyse des données raw libpcap.

reordercap

réarrange les marqueurs de temps des paquets d'un fichier d'entrée vers un fichier de sortie.

sharkd

est un démon qui écoute sur les sockets UNIX.

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap.

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment.

wireshark

est l'interface GTK+ de l'analyseur de protocole réseau. Il vous permet de parcourir interactivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

wireshark-gtk

est l'interface Qt de l'analyseur de protocole réseau. Il vous permet de parcourir interactivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

libwireshark.so

contient les fonctions utilisées par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets.

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap.

Last updated on 2017-08-16 22:38:22 +0200