WIRESHARK - Le Tutorial Facile

Wireshark Filtres
Dernière modif: Jul 05 2010

Outil
Tutorial
Ergonomie
Forum

Details Wireshark, c'est quoi?
Captures d'écran
Prérequis
Installation
Lancement de Wireshark
Plate-forme
Filtres
Statistiques

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

Comme vu lors des premiers tutoriaux Wireshark, il est extrêmement facile d'installer et de démarrer Wireshark pour analyser le réseau.

Un problème commun survenant lors du lancement de Wireshark avec le paramétrage par défaut est l'obtention d'un trop grand nombre d'informations à l'écran. Ceci va donc compliquer la recherche de l'information que vous désirez.
Trop d'information tue l'information.

C'est pourquoi les filtres sont si importants, ils vont nous aider à cibler, dans les prolifiques journaux, les données que vous recherchez.

-

-
Les filtres de capture: Utilisés pour sélectionner les données à enregistrer dans les journaux. Ils sont définis avec le démarrage de la capture.
Les filtres d'affichage: Utilisés pour rechercher à l'intérieur des données capturées. Ils peuvent être modifiés pendant que des données sont capturées.
Dois-je donc utiliser le filtre de capture ou le filtre d'affichage?

Les buts des deux filtres sont différents.
Le filtre de capture est utilisé comme premier large filtre pour limiter la taille des données capturées afin d'empêcher la génération d'un journal trop volumineux.
Le filtre d'affichage est quant à lui bien plus puissant (et complexe), il permet de rechercher exactement les données souhaitées.

La syntaxe des deux types de filtres est complètement différente. Nous allons les présenter dans la suite de ce tutorial.

1. FILTRE DE CATPURE 2. FILTRE D'AFFICHAGE

1. FILTRE DE CAPTURE

La syntaxe du filtre de capture est la même que celle utilisée par la librairie Lipcap ou Winpcap comme le fameux TCPdump. Le filtre de capture doit être configuré avant de lancer la capture Wireshark, ce qui n'est pas le cas pour les filtres d'affichage qui peuvent être modifiés à n'importe quel moment pendant la capture.

Les étapes pour configurer un filtre de capture sont les suivantes:
- Sélectionnez Capture -> Options.
- Remplissez le champ "Capture Filter" ou cliquez sur le bouton "Capture Filter" pour donner un nom à votre filtre et pouvoir le réutiliser pour des captures ultérieures.
- Cliquez sur Start pour capturer des données.

wireshark capture options

Syntaxe: Protocole Direction Hôte(s) Valeur Operations logique Autre expression

Exemple: tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128

Protocole:
Valeurs: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Si aucun protocole n'est sélectionné, tous les protocoles sont utilisés.

Direction:
Valeurs: src, dst, src and dst, src or dst
Si aucune source ou destination n'est spécifiée, les mots-clefs "src or dst" sont appliqués.
Par exemple, "host 10.2.2.2" est équivalent à "src or dst host 10.2.2.2".

Hôte(s):
Valeurs: net, port, host, portrange
Si aucun hôte n'est spécifié, le mot clef "host" est utilisé.
Par exemple, "src 10.1.1.1" est équivalent à "src host 10.1.1.1".

Operations logiques:
Valeurs: not, and, or
Négation ("not") a la plus haute priorité. Alternance ("or") et concaténation ("and") ont des priorités équivalentes et s'associent de gauche à droite.
Par exemple,
"not tcp port 3128 and tcp port 23" est équivalent à "(not tcp port 3128) and tcp port 23"
"not tcp port 3128 and tcp port 23" est équivalent à "not (tcp port 3128 and tcp port 23)"

Exemples:

tcp dst port 3128
Affiche les paquets avec un port destination TCP de 3128.

ip src host 10.1.1.1
Affiche les paquets avec une adresse IP source égale à 10.1.1.1.

host 10.1.2.3
Affiche les paquets avec une adresse source ou destination égal à 10.1.2.3.

src portrange 2000-2500
Affiche les paquets avec des ports TCP ou UDP source dans l'étendue 2000 à 2500.

not imcp
Affiche tout sauf les paquets icmp. (icmp est typiquement utilisé par l'utilitaire Ping.)

src host 10.7.2.12 and not dst net 10.200.0.0/16
Affiche les paquets avec une adresse IP source de 10.7.2.12 et en même temps avec un réseau IP de destination différent de 10.200.0.0/16.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
Affiche les paquets avec une IP source de 10.4.1.12 ou un réseau source de 10.6.0.0/16, le résultat est ensuite concaténé avec les paquets ayant une étendue de port TCP de destination de 200 à 10000 et un réseau IP de destination de 10.0.0.0/8.

Nota Bene:

Le signe backslash "\" est utilisé quand un mot clef est utilisé comme valeur.
"ether proto \ip" (est équivalent à "ip").
Cela va cibler les protocoles IP.

"ip proto \icmp" (est équivalent à "icmp").
Cela va cibler les paquets icmp typiquement utilisés par l'utilitaire ping.

Les mots clefs "multicast" et "broadcast" peuvent aussi être utilisés après "ip" ou "ether".
"no broadcast" est utilisé quand vous voulez exclure des requêtes de broadcast.

Vérifiez la page man de TCPdump pour des informations à propos de la syntaxe des filtres de capture.
D'autres exemples de filtres de captures peuvent être consultés sur le site web wiki de Wireshark.

Haut de la page

2. FILTRE D'AFFICHAGE:

Le filtre d'affichage est utilisé pour rechercher à l'intérieur des données récoltées avec un filtre de capture.
Ses capacités de recherche sont plus étendues que celles du filtre de capture et il n'est pas nécessaire de redémarrer la capture lors de modifications du filtre.

Syntaxe: Protocole . Champs 1 . Champs 2 Opérateur de comparaison Valeur Operations logiques Autre expression

Exemple: ftp passive ip == 10.2.3.4 xor icmp.type

Protocole:

Un grand nombre de protocoles compris entre les couches deux et sept du modèle OSI est disponible. Ils peuvent être consultés quand vous cliquez sur le bouton "Expression ..." dans la fenêtre principal de Wireshark.
Quelques exemples de protocole sont: IP, TCP, DNS, SSH.

Les protocoles supportés (Supported protocols) avec un petit descriptif peuvent aussi être consultés comme indiqué ci-dessous:

wireshark supported protocols

Le site web de Wireshark propose des explications à propos des protocoles et de leur sous catégories.

Champs1, Champs2 (Paramètres optionnels):

Sous catégorie protocolaire à l'intérieur du protocole.
Pour les consulter, rechercher un protocole et cliquer sur le caractère "+".

Opérateurs de comparaison:

Six opérateurs de comparaison sont disponibles:

Format anglais: Format de type C: Signification:

eq == Equal

ne != Non équal (Not Equal)

gt > Plus grand que (Greater than)

lt < Plus petit que (Less than)

ge >= Plus grand ou égale à (Greater or equal)

le <= Plus petit ou égal à (Less or equal)

Expressions logiques:

Format anglais: Format de type C: Signification:

and && Logical AND (et)

or || Logical OR (ou)

xor ^^ Logical XOR (ou)

not ! Logical NOT (non)

L'expression logique "XOR", bien connue des programmeurs, est utilisée en tant qu'alternance exclusive. Quand elle est utilisé entre deux conditions dans un filtre, des données sont affichées à l'écran en tant que résultat seulement si une des deux conditions est remplie mais pas les deux comme pour l'expression "OR".
Prenons un exemple avec le filtre d'affichage suivant:
"tcp.dstport 443 xor tcp.srcport 1025"
Seuls les paquets avec un port destination TCP 80 ou un port source TCP 1025 (mais pas les deux en même temps) sont affichés à l'écran comme résultat.

Exemple:

snmp || dns || icmp Affiche les trafics SNMP ou DNS ou ICMP.

ip.addr == 10.1.1.1
Affiche les paquets avec une adresse source ou destination de 10.1.1.1.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
Affiche les paquets avec une adresse IP source différente de 10.1.2.3 ou avec une adresse IP destination différente de 10.4.5.6.
en d'autres termes, les paquets affichés auront:
Adresse IP source: Tout sauf 10.1.2.3, adresse IP destination: tout
et
Adresse IP source: tout, adresse IP destination: tout sauf 10.3.4.5.6

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
Affiche les paquets avec une adresse IP source différente de 10.1.2.3 et en même temps avec une adresse IP destination différente de 10.4.5.6.
En d'autres termes, les paquets affichées auront:
Adresse IP source: tous sauf 10.1.2.3 et, adresse IP de destination: tous sauf 10.4.5.6.

tcp.port == 25 Affiche les paquets dont le port TCP source ou destination est égal à 25.

tcp.dstport == 25 Affiche Les paquets avec un port TCP de destination 25.

tcp.flags Affiche les paquets contenant un drapeau TCP. (TCP flag)

tcp.flags.syn == 0x02 Affiche les paquets avec un drapeau TCP SYN.
Si la syntaxe du filtre est correcte, le fond d'affichage se colore en vert, dans le cas contraire, c'est-à-dire si la syntaxe est incorrecte, il passe au rouge.

wireshark display filter exemple Syntaxe correct

Syntaxe incorrecte.
Des informations supplémentaires à propos des filtres d'affichages peuvent être trouvées sur le site web officiel de Wireshark ou sur le site web Wiki Wireshark.

Haut de la page

Format anglais:	Format de type C:	Signification:
eq	==	Equal
ne	!=	Non équal (Not Equal)
gt	>	Plus grand que (Greater than)
lt	<	Plus petit que (Less than)
ge	>=	Plus grand ou égale à (Greater or equal)
le	<=	Plus petit ou égal à (Less or equal)