alphaspirit - stock.adobe.com
Surveillance réseau : comment utiliser les filtres d'affichage de Wireshark
Les filtres d'affichage du logiciel Wireshark permettent aux utilisateurs de concentrer leurs recherches lors de l’analyse d’un trafic réseau. Cet article explique comment appliquer et paramétrer ces filtres.
L’outil open source Wireshark permet aux utilisateurs d’analyser le trafic réseau de manière très granulaire, d’intercepter les paquets réseau, de dépanner les problèmes réseau et bien plus encore. Mais avant de se lancer dans l’utilisation de cet outil polyvalent, il est important de comprendre ses fonctionnalités. L’une des fonctionnalités à découvrir en premier est celle des filtres d’affichage.
Les filtres d’affichage de Wireshark servent à réduire la portée de l’analyse du trafic pendant le filtrage des paquets, explique Lisa Bock, auteure de Learn Wireshark: A definitive guide to expertly analyzing protocols and troubleshooting networks using Wireshark. Ce qui suit est l’extrait du chapitre 7 de ce livre. Mme Bock y explique comment créer, modifier et utiliser les filtres d’affichage. Vous pouvez télécharger la version PDF complète, en anglais, de ce chapitre 7 pour découvrir également comment créer des filtres de capture, filtrer le trafic réseau, utiliser des raccourcis, etc.
Comprendre les filtres d’affichage
Dans le cadre de la capture du trafic ou de l’analyse d’un fichier de capture précédente, les filtres d’affichage servent à restreindre la portée et à se concentrer sur des types de trafic spécifiques. Il n’est pas rare d’avoir une capture contenant plus de 3 000 paquets relevant de différents types de trafic.
Lorsque vous lancez Wireshark, l’écran de démarrage s’affiche. En haut, sous les icônes, se trouve la barre d’outils des filtres. Dans cette barre d’outils, vous trouverez le texte Apply a display filter... (Appliquer un filtre d’affichage…), qui vous permet d’appliquer et de modifier facilement les filtres d’affichage, comme illustré ici :
Vous pouvez créer un filtre simple sur n’importe quel protocole pris en charge par Wireshark en utilisant, soit un seul à la fois, soit plusieurs à l’aide d’un opérateur logique. Par exemple, si vous souhaitez voir le trafic TCP ou ARP, vous utiliserez le filtre d’affichage tcp || arp.
Modifier les filtres d’affichage
Après avoir utilisé les filtres d’affichage, vous devrez peut-être modifier une adresse IP ou un numéro de port. Pour modifier le filtre d’affichage, allez dans le menu Analyze (Analyser), puis sélectionnez Display Filters… (Filtres d’affichage…), ce qui fera apparaître la boîte de dialogue suivante :
Une fois là, vous pouvez sélectionner l’une des trois icônes affichées dans le coin inférieur gauche de la boîte de dialogue :
- Une icône plus permet d’ajouter un nouveau filtre d’affichage. Lorsque vous la sélectionnez, Wireshark crée un espace dans lequel vous pouvez entrer un nom à gauche et le filtre proprement dit à droite.
- Une icône moins permet de supprimer un filtre d’affichage. Sélectionnez (mettez en surbrillance) le filtre que vous souhaitez supprimer et cliquez sur le signe moins pour supprimer le filtre de la boîte de dialogue et mettre à jour le fichier dfilters.txt.
- Une icône de copie permet de copier un filtre d’affichage. Une fois copié, vous pouvez modifier le filtre sans changer l’original. Wireshark ajoutera alors le nouveau filtre au fichier dfilters.txt.
Utiliser des signets
À droite du filtre d’affichage se trouve une icône bleue appelée Bookmarks (Signets). C’est là que se trouvent les filtres intégrés à Wireshark et tous les filtres enregistrés par l’utilisateur. Si vous cliquez sur l’icône, vous verrez apparaître des options, ainsi que plusieurs filtres préchargés que vous pouvez utiliser, comme illustré ici :
Lorsque vous travaillez avec des signets, vous verrez apparaître les options de configuration suivantes :
- Enregistrer ce filtre : après avoir créé un filtre, vous pouvez l’enregistrer dans le signet en sélectionnant cette option.
- Supprimer ce filtre : cette option supprime le filtre actuellement utilisé qui est stocké dans le fichier dfilters.txt.
- Gérer les filtres d’affichage : cette option ouvre la boîte de dialogue Filtres d’affichage.
- Préférences du bouton Filtre… : cela ouvrira la boîte de dialogue Préférences avec l’option Boutons de filtre mise en surbrillance.
Sous les sélections, vous verrez une liste de filtres. Même si vous n’avez jamais enregistré de filtre, vous verrez la liste, car Wireshark affichera la liste des filtres trouvés dans le fichier dfilters.txt.
Une fois que vous avez créé votre propre filtre ou sélectionné un filtre dans la liste déroulante, vous pouvez appuyer sur Entrée ou cliquer sur la flèche bleue à droite du filtre d’affichage pour exécuter le filtre.
Tout à droite du filtre d’affichage se trouve une flèche de déroulement. Lorsque vous la sélectionnez, vous pouvez voir les filtres précédemment utilisés, comme le montre la capture d’écran suivante :
Un filtre d’affichage peut être appliqué avant, pendant ou après la capture des paquets. Lorsque vous êtes prêt à effacer le filtre, sélectionnez le X situé à droite du filtre, comme illustré ici :
