Réaliser une capture Wireshark pas à pas : Mise à jour 2020 avec Wireshark 3.2
Le but de ce tutoriel est de réaliser une capture Wireshark pour une analyse des problèmes rencontrés sur Internet.
Ce tutoriel est compatible avec Windows - Linux - MacOS X1ère étape : Installation du logiciel Wireshark
Installez le logiciel Wireshark (64-bit) qui se télécharge ici : https://www.wireshark.org/#download
Sous Windows, Wireshark va proposer l'installation de
Npcap => Oui.
Npcap est nécessaire pour faire des captures sous Windows. (il faut avoir les droits administrateur pour faire l'installation de
Npcap).
Sans Npcap, vous pouvez ouvrir des captures déjà réalisées avec Wireshark, mais il sera impossible d'en réaliser.
Il n'est pas nécessaire d'installer
USBPcap, qui sert à faire des capture sur un port USB.
Un reboot est nécessaire à la fin pour
Npcap.
2ème étape : Lancer Wireshark puis aller dans le menu Capture => Options...Un menu avec la liste des interface de l'ordinateur s'affiche :
- Une ligne pour votre carte Ethernet
- Une ligne pour votre carte WiFi si vous en avez une
- Une ligne pour une interface virtuelle...
Si vous êtes en WiFi, il est recommandé de vous connecter-vous avec un câble Ethernet directement sur le box de votre FAI, pour éviter les pertes de paquets lié au WiFi.
Que faire si aucune interface n'apparait ? Vous êtes sous MacOS X ou Linux et il faut démarrer Wireshark avec les privilèges administrateur pour pouvoir lancer Wireshark. Sous Linux, suivez le tutoriel Utiliser Wireshark sous Linux, sans les droits "root"
Sous Windows, il faut installer Npcap, voir le paragraphe précédent.
Cliquez sur le bouton Options situé en face de l'interface où il y à de nombreux paquets (l'interface Ethernet car ce test ne doit pas être fait en Wifi, le flux TV UDP ne permettant pas de renvoyer les paquets perdu contrairement a un flux data TCP)
Un menu de ce type s'affiche :
Vous devez faire 2 modifications pour éviter les pertes de paquets (celles entourées en rouge dans la capture ci-dessus) :
- Décochez la case Mettre à jour la liste des paquets en temps réel
- Décochez la case Afficher une fenêtre d’information de capture supplèmentaire
Revenez dans l'onglet Entrée, cliquez sur votre carte réseau et Cliquez sur Démarrer en bas à droite : La capture commence.
Note: Il est nécessaire de démarrer la capture avant de charger la page qui pose problème, afin d'avoir le [SYN] (début de la connexion TCP).
3ème étape : Arrêt de la capturePour l'arrêter, il faut cliquer sur le carré rouge en haut à gauche :
Vérifiez la barre d'état de Wireshark (la ligne tout en bas) : il doit y avoir marqué Perdus: 0 (0,0%). Si vous avez autre chose que 0, cela signifie que votre machine a eu un peu de mal a écrire le flux et que des paquets ont été perdus. La capture n'est pas parfaite. Il est préférable de la refaire en veillant à fermer les applications non nécessaire.
4ème étape : Enregistrement de la captureOn enregistre la trace en allant dans le menu Fichier puis Sauvegarder. Indiquez dans le nom de la capture votre pseudo. Exemple : capture_vivien.pcapng
Cochez la case située en bas "Compress with gzip" : cela permet que le fichier prenne moins de place.
Vous pouvez fermer Wireshark
5ème étape : Envoi de la capture par Internet pour analysePour envoyer le fichier par Internet, je vous conseille de le mettre directement sur le forum en cliquant sur "Ajouter des photos, fichiers joints et autres options…" quand vous rédigez votre message (taille maximale: 150 Mo). Vous pouvez également passer par https://wetransfer.com/ pour un envoi par message privé : vous cliquez sur parcourir pour trouver votre fichier Wireshark puis celui ci est transféré sur le serveur Free. Il faut quelques minutes pour envoyer le fichier.
TCP/IP / Fonctionnement des réseaux