Wireshark

Fiche logiciel validé

Logiciel validé par la communauté ESR

Création ou MAJ importante : 23/12/09
Correction mineure : 11/03/13

Rédacteur de la fiche : Oliver Henriot - MI2S (CNRS, UJF INPG)
Relecteur(s) : Sylvain Corcoral (LMGM jusqu'en mars 2010)
Responsable thématique : Gilian Gambini (CNRS DSI)

Mots-clés

Pour aller plus loin

Fiches logiciel PLUME connexes : NfSen

Mots-clés principaux : surveillance

Ressources complémentaires :
- IPv6 et les langages de programmation
- pcapr.net : pour explorer des paquets réseau

Wireshark : capture et analyse de paquets réseau (analyseur de protocoles)

Site web
Système :
Téléchargement
Version évaluée : 1.2.3
Langue(s) de l'interface : anglais
Licence : GPL

Description

Fonctionnalités générales

Wireshark est un outil de capture et d'analyse de paquets réseau, en-ligne et hors-ligne :

Il supporte plusieurs centaines de protocoles et permet un filtrage avancé des données, lors de la capture et aussi lors de l'analyse.
Les données capturées sont navigables via une interface graphique ou en mode texte.
Compatible avec les formats de capture d'autres outils comparables (e.g. tcpdump).
Décryption de nombreux protocoles (e.g. IPSec, Kerberos, WPA).
Exportation des données en XML, Postscript, CSV ou texte brut.

Autres fonctionnalités

Wireshark est :
- Multi-plateformes
- Multi-protocoles
- Très souple et simple d'utilisation
Ceci en fait un outil très générique pour tout ce qui concerne l'administration réseau.

Interopérabilité

Compatible avec les données de capture provenant de nombreux autres outils similaires.
Permet l'exportation au format XML, CSV ou encore texte brut.

Contexte d'utilisation dans mon laboratoire/service

Wireshark est utilisé pour diagnostiquer les problèmes de fonctionnement liés au réseau :
- Protocoles/ports requis par les applications
- Filtrage restrictif entre vlans
Son aspect multi-plateformes avec analyse en temps réel permet de monter très facilement des tests pour diagnostiquer les problèmes rencontrés.

Environnement du logiciel

Distributions dans lesquelles ce logiciel est intégré

Debian / Debian GNU/Linux
FreeBSD Foundation / FreeBSD
Gentoo Foundation / Gentoo Linux
Mandriva / Mandriva Linux
NetBSD Foundation / NetBSD
OpenPKG / OpenPKG Project
Red Hat / Fedora Core 5
Red Hat / Red Hat Enterprise Linux
rPath / rPath Linux

Plates-formes

Apple / Mac OS X
Debian / Debian GNU/Linux
FreeBSD Foundation / FreeBSD
Gentoo Foundation / Gentoo Linux
HP / HP-UX
Mandriva / Mandriva Linux
Microsoft / Windows 2000/XP/2003/Vista
NetBSD Foundation / NetBSD
OpenPKG / OpenPKG Project
Red Hat / Fedora Core 5
Red Hat / Red Hat Enterprise Linux
rPath / rPath Linux
Sun Microsystems / Solaris

Autres logiciels aux fonctionnalités équivalentes

tcpdump : http://sourceforge.net/projects/tcpdump/

Environnement de développement

Type de structure associée au développement

Développement initié par Gerald Combs.
Projet Open-Source avec plus de 500 contributeurs répertoriés.

Eléments de pérennité

Information lue sur le site de Wireshark ( http://www.wireshark.org/news/20080331.html ) :

Wireshark 1.0 Released
Mar 31, 2008

I'm proud to announce the release of Wireshark 1.0. This is the culmination of nearly ten years of hard work by a team of brilliant and talented developers. It is an honor to be able to work with these people.
On behalf of the development team, I would like to thank Wireshark's user community for all of your enthusiasm and support over the years. Wireshark development will continue, and we have lots of great features to offer in the coming years.

Environnement utilisateur

Liste de diffusion ou de discussion, support et forums

Documentation utilisateur

http://www.wireshark.org/docs/

Divers (astuces, actualités, sécurité)

Un exemple de filtre de capture (réduit sélectivement le nombre de paquets capturés) :

not icmp and not port 80 and host 192.168.0.1

Un exemple de filtre d'analyse (réduit le nombre de paquets capturés effectivement affichés par wireshark) :

tcp.dstport != 389 && tcp.srcport != 389

Un exemple de quelques paquets capturés, exportés au format texte plat :

No. Time Source Destination Protocol Info
1 0.000000 192.168.28.101 192.168.33.200 NBSS NBSS Continuation Message

Frame 1 (55 bytes on wire, 55 bytes captured)
Ethernet II, Src: DellComp_e9:79:6d (00:b0:d0:e9:79:6d), Dst: Cisco_af:54:80 (00:0e:39:af:54:80)
Internet Protocol, Src: 192.168.28.101 (192.168.28.101), Dst: 192.168.33.200 (192.168.33.200)
Transmission Control Protocol, Src Port: microsoft-ds (445), Dst Port: 2384 (2384), Seq: 0, Ack: 0, Len: 1
NetBIOS Session Service

No. Time Source Destination Protocol Info
2 0.000167 192.168.33.200 192.168.28.101 TCP 2384 > microsoft-ds [ACK] Seq=0 Ack=1 Win=16416 Len=0

Frame 2 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Cisco_af:54:80 (00:0e:39:af:54:80), Dst: DellComp_e9:79:6d (00:b0:d0:e9:79:6d)
Internet Protocol, Src: 192.168.33.200 (192.168.33.200), Dst: 192.168.28.101 (192.168.28.101)
Transmission Control Protocol, Src Port: 2384 (2384), Dst Port: microsoft-ds (445), Seq: 0, Ack: 1, Len: 0

No. Time Source Destination Protocol Info
3 50.147719 192.168.33.200 192.168.28.101 CLDAP searchRequest(1623) "" baseObject

Frame 3 (165 bytes on wire, 165 bytes captured)
Ethernet II, Src: Cisco_af:54:80 (00:0e:39:af:54:80), Dst: DellComp_e9:79:6d (00:b0:d0:e9:79:6d)
Internet Protocol, Src: 192.168.33.200 (192.168.33.200), Dst: 192.168.28.101 (192.168.28.101)
User Datagram Protocol, Src Port: 4141 (4141), Dst Port: ldap (389)
Connectionless Lightweight Directory Access Protocol

No. Time Source Destination Protocol Info
4 50.148035 192.168.28.101 192.168.33.200 CLDAP searchResEntry(1623)

Frame 4 (212 bytes on wire, 212 bytes captured)
Ethernet II, Src: DellComp_e9:79:6d (00:b0:d0:e9:79:6d), Dst: Cisco_af:54:80 (00:0e:39:af:54:80)
Internet Protocol, Src: 192.168.28.101 (192.168.28.101), Dst: 192.168.33.200 (192.168.33.200)
User Datagram Protocol, Src Port: ldap (389), Dst Port: 4141 (4141)
Connectionless Lightweight Directory Access Protocol

No. Time Source Destination Protocol Info
5 50.250434 192.168.33.200 192.168.28.101 KRB5 TGS-REQ

Frame 5 (1307 bytes on wire, 1307 bytes captured)
Ethernet II, Src: Cisco_af:54:80 (00:0e:39:af:54:80), Dst: DellComp_e9:79:6d (00:b0:d0:e9:79:6d)
Internet Protocol, Src: 192.168.33.200 (192.168.33.200), Dst: 192.168.28.101 (192.168.28.101)
User Datagram Protocol, Src Port: 4142 (4142), Dst Port: kerberos (88)
Kerberos TGS-REQ

Vous devez vous connecter pour poster des commentaires
35863 lectures
Version imprimable
Début de page

Commentaires

lun, 13/02/2012 - 18:08 — Gilian Gambini

Responsable thématique précédent

Cette fiche a d'abord été suivie par le responsable thématique Jacquelin Charbonnel. Gilian Gambini l'a reprise en février 2012.

Vous devez vous connecter pour poster des commentaires