Au-delà de Linux® From Scratch - Version 7.7

Chapitre 16. Outils réseaux

Wireshark-1.12.3

Introduction à Wireshark

Le paquet Wireshark contient un analyseur de protocole réseau connu aussi sous le nom de « sniffer ». Ceci est utile pour analyser les données capturées « hors connexion » à partir d'une connexion réseau en direct ou de données lues à partir d'un fichier de capture. Wireshark fournit à la fois un mode graphique et un front-end TTY-mode pour examiner les paquets réseau capturés de plus de 500 protocoles, ainsi que la capacité de lire des fichiers de capture à partir de nombreux autres analyseurs de réseau populaires.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.7.

Informations sur le paquet

Téléchargements additionnels

Depuis cette page, vous pourrez télécharger de nombreux documents différents dans une variété de formats.

Dépendances de Wireshark

Requis

GLib-2.42.1 (pour ne construire que l'interface en mode ligne de commande)

Notez que si vous devez avoir installé Gtk+ ou Qt4, sinon,passez --disable-wireshark à la commande configure. SBU et l'espace disque requis sont plus grand pour l'interface Qt.

Recommandés

GTK+-3.14.8 (pour contruire l'interface Gtk+3 ) et libpcap-1.6.2 (requis pour capturer les données)

Facultatives

GnuTLS-3.3.12, libgcrypt-1.6.2, Lua-5.3.0, MIT Kerberos V5-1.13.1, OpenSSL-1.0.2, adns, GeoIP, and PortAudio

Facultatives (pour construire l'interface graphique)

gtk+-2.24.26, Qt-4.8.6 ou Qt-5.4.0

Notes d'utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/wireshark

Configuration du noyau

Le noyau doit avoir le protocole de paquets (Packet protocol) activé pour que Wireshark capture les paquets en direct à partir du réseau: 

[*] Networking support --->          [CONFIG_NET]
      Networking options --->
        <*/M> Packet socket          [CONFIG_PACKET]

Si la construction est faite en tant qu'un module, le nom est af_packet.ko.

Installation de Wireshark

Éventuellement, corrigez la description du programme dans titre. Le premier changement écrase le "SVN Unknown" (SVN inconnu) par défaut dans le titre et le second écrase un script qui réinitialise la version à to "unknown" (inconnue). 

cat > svnversion.h << "EOF"
#define SVNVERSION "BLFS"
#define SVNPATH "source"
EOF
cat > make-version.pl << "EOF"
#!/usr/bin/perl
EOF

Wireshark est une application très grosse et très complexe. Ces instructions donnent les mesures de sécurité pour garantir que seuls les utilisateurs de confiance soient autorisés à voir le trafic réseau. Tout d'abord, définissez le groupe system pour wireshark. En tant qu'utilisateur root : 

groupadd -g 62 wireshark

Si vous avez GTK+2 et 3, et Qt4 et 5, une interface liée à GTK+3 et une autre liée à Qt5 sont construites par défaut. A la place, nous choisissons de construire l'interface GTK+3, comme étant celle par défaut pour BLFS. si vous préférez autrement, quelques modifications sont nécessaires. Pour les modifications dans les paramètres de configure, regardez "L'explications des commandes".

Si vous voulez construire une interface Qt et avez Qt4 et 5 d'installés, tapez soit: 

source setqt5

si vous voulez la construction de l'interface Qt5, ou: 

source setqt4 &&
sed -i 's/Qt5 Qt/Qt/' configure

si vous voulez la construction de l'interface Qt4.

Continuez à installer Wireshark en lançant les commandes suivantes : 

patch -Np1 -i ../wireshark-1.12.3-lua_5_3_0-1.patch  &&
./configure --prefix=/usr     \
            --with-gtk3=yes   \
            --with-qt=no      \
            --sysconfdir=/etc &&
make

Ce paquet n'est pas livré avec une suite de test

Maintenant, en tant qu'utilisateur root : 

make install &&
install -v -m755 -d /usr/share/doc/wireshark-1.12.3 &&
install -v -m755 -d /usr/share/pixmaps/wireshark &&
install -v -m644    README{,.linux} doc/README.* doc/*.{pod,txt} \
                    /usr/share/doc/wireshark-1.12.3 &&
pushd /usr/share/doc/wireshark-1.12.3 &&
   for FILENAME in ../../wireshark/*.html; do
      ln -s -v -f $FILENAME .
   done &&
popd &&
install -v -m644 -D wireshark.desktop \
                    /usr/share/applications/wireshark.desktop &&
install -v -m644 -D image/wsicon48.png \
                    /usr/share/pixmaps/wireshark.png &&
install -v -m644    image/*.{png,ico,xpm,bmp} \
                    /usr/share/pixmaps/wireshark

Si vous avez téléchargé un des fichiers de documentation mentionnés dans 'Téléchargements supplémentaires', installez les en suivant les commandes suivantes en tant qu'utilisateur root : 

install -v -m644 <Downloaded_Files> /usr/share/doc/wireshark-1.12.3

Maintenant, définissez le propriétaire et les droits des applications sensibles pour ne permettre qu'aun utilisateurs autorisés de l'utiliser. En tant qu'utilisateur root : 

chown -v root:wireshark /usr/bin/{tshark,dumpcap} &&
chmod -v 6550 /usr/bin/{tshark,dumpcap}

Enfin, ajoutez les utilisateurs au groupe wireshark (en tant qu'utilisateur root): 

usermod -a -G wireshark <username>

Explication des commandes

sed -i 's/Qt5 Qt/Qt/' ...: Cette commande est requise car sans elle, les bibliothèques et include de Qt5 sont trouvés et utilisés en premier, si les deux versions sont installées, quand on tente de construire avec Qt4, et que make ne se termine pas.

--disable-wireshark: Cette option est requise si vous avez installé GTK+ mais ne voulez pas construire les interfaces GTK+ et Qt.

--with-gtk3=yes: Ce paramètre est requis pour utiliser GTK+3 pour l'interface, Si vous utilisez --with-qt=no. Changez gtk3 par gtk2,pour utiliser GTK+3 pour l'interface.

--with-qt=no: Cette option désactive la construction de l'interface Qt. Remplacez "no" par "yes", si vous voulez la construire.

--with-gtk2=yes: Cette option est requise si vous voulez utiliser GTK+2, au lieu de 3, pour l'interface graphique. Notez que l'interface graphique pour seulement une version de GTK+ (soit 2 ou 3) peut être construite.

Configurer Wireshark

Fichiers de configuration

/etc/wireshark.conf et ~/.wireshark/*

Informations de configuration

Si les paramètres de configuration par défaut sont très clairs, reportez vous à la section de configuration du Guide de l'utilisateur de Wireshark (Wireshark User's Guide) pour les informations de configuration. La majorité de la configuration de Wireshark peut être réalisée en utilisant les options du menu des interfaces graphiques de wireshark.

Fichier de bureau pour l'interface Qt

Si l'interface Qt est construite et que vous souhaitez une entrée dans le menu du bureau, il y a deux possibilités (les instructions doivent être exécutées en tant que root).

Si seulement l'interface Qt est construite: 

mv -v /usr/share/applications/wireshark.desktop \
      /usr/share/applications/wireshark-qt.desktop

Si les deux interfaces GTK+ et Qt sont construites: 

cp -v /usr/share/applications/wireshark.desktop \
      /usr/share/applications/wireshark-qt.desktop

Maintenant corriger pour wireshark-qt: 

sed -e 's/ireshark/&-qt/' \
    -e 's/^\(Icon=wireshark\)-qt/\1/' \
    -i /usr/share/applications/wireshark-qt.desktop
[Note]

Note

Si vous voulez regarder les paquets, assurez vous que vous ne les filtrez pas avec iptables-1.4.21. Si vous voulez exclure certaines classes de paquets, il est plus efficace de le faire avec iptables qu'avec Wireshark.

Contenu

Programmes installés: capinfos, captype, dftest, dumpcap, editcap, mergecap, randpkt, rawshark, reordercap, text2pcap, tshark, wireshark et wireshark-qt
Bibliothèques installées: libfiletap.so, libwireshark.so, libwiretap.so, libwsutil.so, et de nombreux modules dans /usr/lib/wireshark/plugins
Répertoires installés: /usr/lib/wireshark, /usr/share/doc/wireshark-1.12.3, /usr/share/pixmaps/wireshark et /usr/share/wireshark

Descriptions courtes

capinfos

lit un fichier de capture sauvegardé et retourne certaines ou toutes les différentes statistiques sur ce fichier. Il est capable de détecter et lire toutes les captures supportées par le paquet Wireshark.

captype

affiche les types de fichier des fichiers de capture.

dftest

est un programme test d'affichage-filtrage-compilation.

dumpcap

est un outil de vidage de traffic réseau. Il vous permet de capturer en direct les paquets de données d'un réseau et écrire ces paquets dans un fichier.

editcap

édite et/ou traduit le format des fichiers de capture. Il sait comment lire les fichiers de capture libpcap dont ceux de tcpdump, Wireshark et autres outils qui capturent dans ce format.

mergecap

combine de multiples fichiers de capture en un fichier unique de sortie.

randpkt

crée des fichiers de capture de paquets aléatoires.

rawshark

crée et analyse des données raw libpcap.

reordercap

re-arrange les marqueurs de temps des paquets d'un fichier d'entrée vers un fichier de sortie.

text2pcap

lit dans une sauvegarde ASCII hexadécimale et écrit les données décrites dans un fichier de capture de style libpcap.

tshark

est un analyseur de protocole réseau mode TTY. Il vous permet de capturer directement les paquets de donnée à partir d'un réseau ou lire les paquets à partir d'un fichier de capture sauvegardé précédemment.

wireshark

est l'interface GTK+ de l'analyseur de protocole réseau. Il vous permet de parcourir intéractivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

wireshark-qt

est l'interface Qt de l'analyseur de protocole réseau. Il vous permet de parcourir intéractivement en direct les paquets à partir d'un réseau ou à partir d'un fichier de capture sauvegardé précédemment.

libwireshark.so

contient les fonctions utilisés par les programmes de Wireshark pour effectuer le filtrage et la capture de paquets.

libwiretap.so

est une bibliothèque développée afin de remplacer dans le futur libpcap, la bibliothèque Unix standard actuelle pour la capture de paquets. Pour plus d'informations, consultez le fichier README dans le répertoire source wiretap.

Last updated on : 2013-02-11 19:51:17 +010