Réaliser une capture Wireshark pas à pas :  Mise à jour 2020 avec Wireshark 3.2



Le but de ce tutoriel est de réaliser une capture Wireshark pour une analyse des problèmes rencontrés sur Internet.
Ce tutoriel est compatible avec Windows - Linux - MacOS X

1ère étape : Installation du logiciel Wireshark

Installez le logiciel Wireshark (64-bit) qui se télécharge ici : https://www.wireshark.org/#download



Sous Windows, Wireshark va proposer l'installation de Npcap => Oui.
Npcap est nécessaire pour faire des captures sous Windows. (il faut avoir les droits administrateur pour faire l'installation de Npcap).
Sans Npcap, vous pouvez ouvrir des captures déjà réalisées avec Wireshark, mais il sera impossible d'en réaliser.

 

Il n'est pas nécessaire d'installer USBPcap, qui sert à faire des capture sur un port USB.
Un reboot est nécessaire à la fin pour Npcap.

 

---

2ème étape : Lancer Wireshark puis aller dans le menu Capture => Options...

Un menu avec la liste des interface de l'ordinateur s'affiche :
- Une ligne pour votre carte Ethernet
- Une ligne pour votre carte WiFi si vous en avez une
- Une ligne pour une interface virtuelle...


Si vous êtes en WiFi, il est recommandé de vous connecter-vous avec un câble Ethernet directement sur le box de votre FAI, pour éviter les pertes de paquets lié au WiFi.

Que faire si aucune interface n'apparait ? Vous êtes sous MacOS X ou Linux et il faut démarrer Wireshark avec les privilèges administrateur pour pouvoir lancer Wireshark. Sous Linux, suivez le tutoriel Utiliser Wireshark sous Linux, sans les droits "root"
Sous Windows, il faut installer Npcap, voir le paragraphe précédent.

Cliquez sur le bouton Options situé en face de l'interface où il y à de nombreux paquets (l'interface Ethernet car ce test ne doit pas être fait en Wifi, le flux TV UDP ne permettant pas de renvoyer les paquets perdu contrairement a un flux data TCP)

Un menu de ce type s'affiche :


Vous devez faire 2 modifications pour éviter les pertes de paquets (celles entourées en rouge dans la capture ci-dessus) :
- Décochez la case Mettre à jour la liste des paquets en temps réel
- Décochez la case Afficher une fenêtre d’information de capture supplèmentaire

Revenez dans l'onglet Entrée, cliquez sur votre carte réseau et Cliquez sur Démarrer en bas à droite : La capture commence.



Note: Il est nécessaire de démarrer la capture avant de charger la page qui pose problème, afin d'avoir le [SYN] (début de la connexion TCP).

---

3ème étape : Arrêt de la capture

Pour l'arrêter, il faut cliquer sur le carré rouge en haut à gauche :


Vérifiez la barre d'état de Wireshark (la ligne tout en bas) : il doit y avoir marqué Perdus: 0 (0,0%). Si vous avez autre chose que 0, cela signifie que votre machine a eu un peu de mal a écrire le flux et que des paquets ont été perdus. La capture n'est pas parfaite. Il est préférable de la refaire en veillant à fermer les applications non nécessaire.

---

4ème étape : Enregistrement de la capture

On enregistre la trace en allant dans le menu Fichier puis Sauvegarder. Indiquez dans le nom de la capture votre pseudo. Exemple : capture_vivien.pcapng
Cochez la case située en bas "Compress with gzip" : cela permet que le fichier prenne moins de place.


Vous pouvez fermer Wireshark

---

5ème étape : Envoi de la capture par Internet pour analyse

Pour envoyer le fichier par Internet, je vous conseille de le mettre directement sur le forum en cliquant sur "Ajouter des photos, fichiers joints et autres options…" quand vous rédigez votre message (taille maximale: 150 Mo). Vous pouvez également passer par https://wetransfer.com/ pour un envoi par message privé : vous cliquez sur parcourir pour trouver votre fichier Wireshark puis celui ci est transféré sur le serveur Free. Il faut quelques minutes pour envoyer le fichier.

https://wiki.wireshark.org/CaptureSetup/VLAN

Windows has no built-in support mechanisms for VLANs. There aren't separate physical and VLAN interfaces you can capture from, unless a specialized driver that adds such support is present.

So whether you see VLAN tags in Wireshark or not will depend on the network adapter you have and on what its and its driver do with VLAN tags.

Most "simple" network adapters (e.g. widely used Realtek RTL 8139) and their drivers will simply pass VLAN tags to the upper layer to handle these. In that case, Wireshark will see VLAN tags and can handle and show them.

Some more sophisticated adapters will handle VLAN tags in the adapter and/or the driver. This includes some Intel adapters and, as far as i know, Broadcom gigabit chipsets (NetXtreme / 57XX based chips). Moreover, it is likely that cards that have specialized drivers will follow this path as well, to prevent interference from the "real" driver.

Sous Windows le fait que Wireshark puisse voire le TAG dépend du chipset et du driver.

Je up, au travail, un client m'a posé une colle avec une capture wireshark, vivien et/ou le forum, possible de m'aider à bien comprendre ? le tuto est toujours d'actualité ?


Je voudrais savoir par exemple, comment filtrer seulement le trafic entre mon pc et lafibre.info pour commencer ?

Je voudrais savoir par exemple, comment filtrer seulement le trafic entre mon pc et lafibre.info pour commencer ?

lafibre.info c'est simple, il n'y a qu'une seule IPv4 et une IPv6.
Donc "ip.addr == 80.67.167.77 || ipv6.addr == 2a01:6e00:10:410:0:1a:f1b2:e".

Il est possible de filtrer par nom de domaine avec ip(v6).host si la résolution des IP est activée dans les paramètres.
Mais pour lafibre.info ce n'est pas un bon exemple, car les reverse DNS sont différents :
 - 80.67.167.77 => lafibre.cust.milkywan.net
 - 2a01:6e00:10:410:0:1a:f1b2:e => mail.lafibre.info

[Déformation professionnelle]
c'est l'inverse par contre ^^
[/Déformation professionnelle]

Effectivement, c'est l'IPv4 qui passe par MilkyWan.
J'ai corrigé.

Merci pour votre aide, mai en tapant l'ip de lafibre.info dans la barre de fltre, il se passe rien

Avec wireshark, c'est malheureusement assez courant de ne rien récupérer si on saisit un filtre directement. Plein de raisons: on a mal saisi l'adresse (mais je pense que tu as vérifié!); on n'a rien capturé; l'adresse dans le filtre est fausse (passage par un proxy, etc.).

Une bonne méthode: fais une capture "brute" (sans filtre); fais un PING de lafibre.info; arrête la capture. Ensuite dans la barre de filtre tu saisis "icmp or icmpv6" pour isoler les PING, et donc vérifier quelle est l'adresse du serveur, et si la capture s'effectue bien.

Quand je faisais des traces wireshark dans mon travail, je ne saisissais jamais le filtre directement, tellement il y a de risques de manquer quelque chose. Je commençais toujours par une capture brute pour vérifier.

D'ailleurs, même dans la méthode que je t'ai proposée, il peut y avoir un biais: s'il y a de l'équilibrage de charge entre deux adresses, tu risques de n'en touver qu'une. Mais en affinant, on finit par y arriver.