Réaliser une capture Wireshark pas à pas : Mise à jour 2017 avec Wireshark 2.4
Le but de ce tutoriel est de réaliser une capture Wireshark pour une analyse des problèmes rencontrés sur Internet.
Ce tutoriel est compatible avec Windows - Linux - MacOS X1ère étape : Installation du logiciel Wireshark
Installez le logiciel Wireshark (64-bit) qui se télécharge ici : https://www.wireshark.org/#downloadSous Windows, Wireshark va proposer l'installation de WinPcap.
WinPcap est nécessaire pour faire des captures sous Windows. (il faut avoir les droits administrateur pour faire l'installation de WinPcap).
Il n'est pas nécessaire d'installer USBPcap, qui sert à faire des capture sur un port USB.
2ème étape : Lancer Wireshark puis aller dans le menu Capture => Options...Un menu avec la liste des interface de l'ordinateur s'affiche :
- Une ligne pour votre carte Ethernet
- Une ligne pour votre carte WiFi si vous en avez une
- Une ligne pour une interface virtuelle...
Si vous êtes en WiFi, il est recommandé de vous connecter-vous avec un câble Ethernet directement sur le box de votre FAI, pour éviter les pertes de paquets lié au WiFi.
Que faire si aucune interface n'apparait ? Vous êtes sous MacOS X ou Linux et il faut démarrer Wireshark avec les privilèges administrateur pour pouvoir lancer Wireshark. Sous Linux, suivez le tutoriel Utiliser Wireshark sous Linux, sans les droits "root"
Cliquez sur le bouton Options situé en face de l'interface où il y à de nombreux paquets (l'interface Ethernet car ce test ne doit pas être fait en Wifi, le flux TV UDP ne permettant pas de renvoyer les paquets perdu contrairement a un flux data TCP)
Un menu de ce type s'affiche :
Vous devez faire 2 modifications pour éviter les pertes de paquets (celles entourées en rouge dans la capture ci-dessus) :
- Décochez la case Mettre à jour la liste des paquets en temps réel
- Décochez la case Afficher une fenêtre d’information de capture supplèmentaire
Revenez dans l'onglet Entrée, cliquez sur votre carte réseau et Cliquez sur Démarrer en bas à droite : La capture commence.
Note: Il est nécessaire de démarrer la capture avant de charger la page qui pose problème, afin d'avoir le [SYN] (début de la connexion TCP).
3ème étape : Arrêt de la capturePour l'arrêter, il faut cliquer sur le carré rouge en haut à gauche :
Vérifiez la barre d'état de Wireshark (la ligne tout en bas) : il doit y avoir marqué Perdus: 0 (0,0%). Si vous avez autre chose que 0, cela signifie que votre machine a eu un peu de mal a écrire le flux et que des paquets ont été perdus. La capture n'est pas parfaite. Il est préférable de la refaire en veillant à fermer les applications non nécessaire.
4ème étape : Enregistrement de la captureOn enregistre la trace en allant dans le menu Fichier puis Sauvegarder. Indiquez dans le nom de la capture votre pseudo. Exemple : capture_vivien.pcapng
Cochez la case située en bas "Compress with gzip" : cela permet que le fichier prenne moins de place.
Vous pouvez fermer Wireshark
5ème étape : Envoi de la capture par Internet pour analysePour envoyer le fichier par Internet, je vous conseille de le mettre directement sur le forum en cliquant sur "Ajouter des photos, fichiers joints et autres options…" quand vous rédigez votre message (taille maximale: 150 Mo). Vous pouvez également passer par https://send.firefox.com/ pour un envoi par message privé : vous cliquez sur parcourir pour trouver votre fichier Wireshark puis celui ci est transféré sur le serveur Free. Il faut quelques minutes pour envoyer le fichier.
TCP/IP / Fonctionnement des réseaux