Wireshark-3.6.7

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture.

Wireshark fournit à la fois un mode graphique et une interface en TTY pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

[Note]

Note

Development versions of BLFS may not build or run some packages properly if dependencies have been updated since the most recent stable versions of the book.

Informations sur le paquet

  • Téléchargement (HTTP) : https://www.wireshark.org/download/src/all-versions/wireshark-3.6.7.tar.xz

  • Téléchargement (FTP) :

  • Somme de contrôle MD5 : 1c210158e3038dbd8a9cf39b7c9fc6ef

  • Taille du téléchargement : 38 Mo

  • Estimation de l'espace disque requis : 658 Mo (avec toutes les dépendances facultatives disponibles dans le livre BLFS)

  • Estimation du temps de construction : 2,3 SBU (avec parallélisme = 4 et toutes les dépendances facultatives disponibles dans le livre BLFS)

Téléchargements supplémentaires

Dépendances de Wireshark

Requises

CMake-3.23.3, GLib-2.72.3, libgcrypt-1.10.1 et Qt-5.15.5

Recommandées

Facultatives

asciidoctor-2.0.17, Brotli-1.0.9, c-ares-1.18.1, Doxygen-1.9.4, git-2.37.1, GnuTLS-3.7.7, libnl-3.7.0, libxslt-1.1.35, libxml2-2.9.14, Lua-5.2.4, MIT Kerberos V5-1.20, nghttp2-1.48.0, SBC-2.0, Speex-1.2.1, BCG729, libilbc, libsmi, lz4, libssh, MaxMindDB, Minizip, Snappy et Spandsp

Notes utilisateur : https://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau :

[*] Networking support --->          [CONFIG_NET]
      Networking options --->
        <*/M> Packet socket          [CONFIG_PACKET]

Si la construction est faite en tant qu'un module, le nom est af_packet.ko.

Installation de Wireshark

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root :

groupadd -g 62 wireshark

Continuez à installer Wireshark en lançant les commandes suivantes :

mkdir build &&
cd    build &&

cmake -DCMAKE_INSTALL_PREFIX=/usr \
      -DCMAKE_BUILD_TYPE=Release  \
      -DCMAKE_INSTALL_DOCDIR=/usr/share/doc/wireshark-3.6.7 \
      -G Ninja \
      .. &&
ninja

Ce paquet n'a pas de suite de tests.

Maintenant, en tant qu'utilisateur root :

ninja install &&

install -v -m755 -d /usr/share/doc/wireshark-3.6.7 &&
install -v -m644    ../README.linux ../doc/README.* ../doc/randpkt.txt \
                    /usr/share/doc/wireshark-3.6.7 &&

pushd /usr/share/doc/wireshark-3.6.7 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd
unset FILENAME

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez-les en suivant les commandes suivantes en tant qu'utilisateur root :

install -v -m644 <Downloaded_Files> \
                 /usr/share/doc/wireshark-3.6.7

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root :

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Enfin, ajoutez les utilisateurs au groupe wireshark (en tant qu'utilisateur root) :

usermod -a -G wireshark <username>

Si vous installez wireshark pour la première fois, il sera nécessaire de quitter la session et de se reconnecter. Cela ajoutera wireshark à vos groupes, sans lequel l'application ne tournera pas correctement.

Configuration de Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.config/wireshark/* (à moins qu'il n'y ait déjà ~/.wireshark/* dans le système)

Informations sur la configuration

Même si les paramètres de configuration par défaut sont très bons, rapportez-vous à la section de configuration du Guide utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu des interfaces graphiques de wireshark.

[Note]

Note

Si vous voulez regarder les paquets, assurez-vous que vous ne les filtrez pas avec iptables-1.8.8. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, captype, dumpcap, editcap, idl2wrs, mergecap, randpkt, rawshark, reordercap, sharkd, text2pcap, tshark et wireshark
Bibliothèques installées: libwireshark.so, libwiretap.so, libwsutil.so et de nombreux modules dans /usr/lib/wireshark/plugins
Répertoires installés: /usr/{include,lib,share}/wireshark et /usr/share/doc/wireshark-3.6.7

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark

captype

affiche les types de fichier des fichiers de capture

dumpcap

est un outil de vidage de trafic réseau. Il vous permet de capturer en direct les paquets de données d'un réseau et écrire ces paquets dans un fichier

editcap

édite et traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format

idl2wrs

est un programme qui prend un fichier CORBA IDL spécifié et génère le code source « C » pour un « greffon » Wireshark. Il se base sur deux programmes Python, wireshark_be.py et wireshark_gen.py, qui ne sont pas installés par défaut. Il faut les copier manuellement du répertoire tools vers le répertoire $PYTHONPATH/site-packages/

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie

randpkt

crée des fichiers de capture de paquets aléatoires

rawshark

crée et analyse des données libpcap brutes

reordercap

réarrange les marqueurs de temps des paquets d'un fichier d'entrée vers un fichier de sortie

sharkd

est un démon qui écoute sur les sockets UNIX

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment

wireshark

est l'interface GTK+ de l'analyseur de protocole réseau. Il vous permet de parcourir interactivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment

libwireshark.so

contient les fonctions utilisées par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap

Last updated on