Auteur Sujet: Réaliser une capture Wireshark pas à pas  (Lu 53555 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 32 171
    • Twitter LaFibre.info
Réaliser une capture Wireshark pas à pas
« le: 24 novembre 2010 à 07:39:49 »
Réaliser une capture Wireshark pas à pas :  Mise à jour 2017 avec Wireshark 2.4

Le but de ce tutoriel est de réaliser une capture Wireshark pour une analyse des problèmes rencontrés sur Internet.
Ce tutoriel est compatible avec Windows - Linux - MacOS X


1ère étape : Installation du logiciel Wireshark

Installez le logiciel Wireshark (64-bit) qui se télécharge ici : https://www.wireshark.org/#download

Sous Windows, Wireshark va proposer l'installation de WinPcap. WinPcap est nécessaire pour faire des captures sous Windows. (il faut avoir les droits administrateur pour faire l'installation de WinPcap).
Il n'est pas nécessaire d'installer USBPcap, qui sert à faire des capture sur un port USB.



2ème étape : Lancer Wireshark puis aller dans le menu Capture => Options...

Un menu avec la liste des interface de l'ordinateur s'affiche :
- Une ligne pour votre carte Ethernet
- Une ligne pour votre carte WiFi si vous en avez une
- Une ligne pour une interface virtuelle...


Si vous êtes en WiFi, il est recommandé de vous connecter-vous avec un câble Ethernet directement sur le box de votre FAI, pour éviter les pertes de paquets lié au WiFi.

Que faire si aucune interface n'apparait ? Vous êtes sous MacOS X ou Linux et il faut démarrer Wireshark avec les privilèges administrateur pour pouvoir lancer Wireshark. Sous Linux, suivez le tutoriel Utiliser Wireshark sous Linux, sans les droits "root"

Cliquez sur le bouton Options situé en face de l'interface où il y à de nombreux paquets (l'interface Ethernet car ce test ne doit pas être fait en Wifi, le flux TV UDP ne permettant pas de renvoyer les paquets perdu contrairement a un flux data TCP)

Un menu de ce type s'affiche :


Vous devez faire 2 modifications pour éviter les pertes de paquets (celles entourées en rouge dans la capture ci-dessus) :
- Décochez la case Mettre à jour la liste des paquets en temps réel
- Décochez la case Afficher une fenêtre d’information de capture supplèmentaire

Revenez dans l'onglet Entrée, cliquez sur votre carte réseau et Cliquez sur Démarrer en bas à droite : La capture commence.



Note: Il est nécessaire de démarrer la capture avant de charger la page qui pose problème, afin d'avoir le [SYN] (début de la connexion TCP).




3ème étape : Arrêt de la capture

Pour l'arrêter, il faut cliquer sur le carré rouge en haut à gauche :


Vérifiez la barre d'état de Wireshark (la ligne tout en bas) : il doit y avoir marqué Perdus: 0 (0,0%). Si vous avez autre chose que 0, cela signifie que votre machine a eu un peu de mal a écrire le flux et que des paquets ont été perdus. La capture n'est pas parfaite. Il est préférable de la refaire en veillant à fermer les applications non nécessaire.




4ème étape : Enregistrement de la capture

On enregistre la trace en allant dans le menu Fichier puis Sauvegarder. Indiquez dans le nom de la capture votre pseudo. Exemple : capture_vivien.pcapng
Cochez la case située en bas "Compress with gzip" : cela permet que le fichier prenne moins de place.


Vous pouvez fermer Wireshark




5ème étape : Envoi de la capture par Internet pour analyse

Pour envoyer le fichier par Internet, je vous conseille de le mettre directement sur le forum en cliquant sur "Ajouter des photos, fichiers joints et autres options…" quand vous rédigez votre message (taille maximale: 150 Mo). Vous pouvez également passer par https://send.firefox.com/ pour un envoi par message privé : vous cliquez sur parcourir pour trouver votre fichier Wireshark puis celui ci est transféré sur le serveur Free. Il faut quelques minutes pour envoyer le fichier.

miky01

  • Expert. Réseau RESO-LIAin (01)
  • Client K-Net
  • *
  • Messages: 3 897
  • Farges (01)
Réaliser une capture Wireshark pas à pas
« Réponse #1 le: 06 juin 2015 à 23:47:41 »
Merci Vivien, comme d'hab, toujours aussi efficace   :)

krtman

  • Expert
  • Client Free adsl
  • *
  • Messages: 144
Réaliser une capture Wireshark pas à pas
« Réponse #2 le: 07 juin 2015 à 00:13:22 »
https://wiki.wireshark.org/CaptureSetup/VLAN

Citer
Windows has no built-in support mechanisms for VLANs. There aren't separate physical and VLAN interfaces you can capture from, unless a specialized driver that adds such support is present.

So whether you see VLAN tags in Wireshark or not will depend on the network adapter you have and on what its and its driver do with VLAN tags.

Most "simple" network adapters (e.g. widely used Realtek RTL 8139) and their drivers will simply pass VLAN tags to the upper layer to handle these. In that case, Wireshark will see VLAN tags and can handle and show them.

Some more sophisticated adapters will handle VLAN tags in the adapter and/or the driver. This includes some Intel adapters and, as far as i know, Broadcom gigabit chipsets (NetXtreme / 57XX based chips). Moreover, it is likely that cards that have specialized drivers will follow this path as well, to prevent interference from the "real" driver.


Sous Windows le fait que Wireshark puisse voire le TAG dépend du chipset et du driver.

tivoli

  • Toulouse (31)
  • Client Bbox fibre FTTH
  • *
  • Messages: 1 936
  • Toulouse (31)
Réaliser une capture Wireshark pas à pas
« Réponse #3 le: 07 juin 2015 à 22:30:55 »
Merci je vais le faire de linux pour voir

 

Mobile View