Avec Wireshark, il est possible de capturer des paquets directement sur les interfaces du système utilisé ou de lire des fichiers de captures sauvegardées. Wireshark supporte les formats de fichiers de capture les plus courants : libpcap/tcpdump, Sun's snoop/atmsnoop, LanAlyzer, MS Network Monitor, HPUX nettl, AIX iptrace, Cisco Secure IDS, etc.
Wireshark supporte les descriptions des champs spécifiques de plus de 820 protocoles. Voir le menu → .
Le logiciel Wireshark permet l'analyse de transmissions réseau sur presque toutes les technologies. Les limitations d'utilisation sont plutôt dues au système d'exploitation sur lequel on exécute ce logiciel. Pour obtenir un état des possibilités d'analyse en fonction du système utilisé, il faut consulter la page : Network media specific capturing
Lorsque l'on exécute wireshark en tant qu'utilisateur normal, on ne peut accéder à la liste des interfaces en lançant l'opération . Sur un système d'exploitation correctement administré, un utilisateur normal ne doit pas avoir accès aux interfaces sans conditions. Il existe plusieurs solutions pour donner un accès direct à la liste des interfaces physiques. En voici trois :
Partant d'une connexion avec un compte utilisateur normal, celui-ci est propriétaire exclusif de son écran (display). Il doit donc autoriser le super utilisateur à accéder à son écran à l'aide de la commande xhost, passer en connexion super-utilisateur avec la commande su puis exécuter l'application Wireshark.
$ xhost +local: $ su Password: # wireshark &
L'application gksu est un frontal graphique de la commande su. Elle permet, après la saisie du mot de passe super-utilisateur, d'exécuter une application en mode super-utilisateur. Dans notre cas, on accède directement aux interfaces physiques en mode graphique sans passer par une manipulation à la console. Ce mode opératoire est proposé par défaut avec toutes les distributions GNU/Linux actuelles.
L'application sudo permet de déléguer
les droits du super-utilisateur avec une granularité très fine.
L'optique de l'analyse réseau étant un cas particulier de
l'administration système, on se limitera à la présentation du fichier
de configuration de l'application :
/etc/sudoers.
# sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL etu ALL = NOPASSWD: /usr/bin/wireshark, /usr/bin/tcptraceroute
C'est à la dernière ligne que se situe la partie intéressante.
L'utilisateur normal etu dispose, sur n'importe quel
hôte géré par ce système (ALL), d'un accès
super-utilisateur aux applications Wireshark et
tcptraceroute sans avoir à saisir son mot
de passe. Pour lancer l'application, il faut préciser l'appel à
l'application sudo de la façon
suivante :
$ sudo wireshark &
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 