Wireshark est un outil indispensable pour faire de l’analyse réseau. Que ce soit pour diagnostiquer et analyser le comportement et les performances de terminaux ou d’applications. Je vous propose dans cet article de personnaliser votre Wireshark afin de gagner un temps précieux sur le terrain 😉
Pour cela, nous allons nous intéresser à trois aspects de l’outil:
- les profils, qui permettent de coloriser certains types de trames et de personnaliser l’affichage des colonnes
- les alias, qui permettent de simplifier la lecture d’une capture en nommant les éléments qui nous intéressent
- les filtres, qui permettent de n’afficher que les informations dont nous avons besoins en un temps record
- les commentaires enfin, qui permettent de prendre des notes directement sur le fichier de capture
En gros, l’objectif est celui-ci:
Le répertoire magique de Wireshark
A chacun de ses lancements, Wireshark regarde le contenu d’un répertoire afin de voir si des éléments de personnalisation sont présents. Vous pouvez trouver ce répertoire très facilement en ouvrant Wireshark, en allant dans le menu Aide > A Propos de Wireshark, puis sous l’onglet Dossiers. Le répertoire qui nous intéresse ici, et que nous utiliserons dans la suite de l’article, est nommé Personal Configuration.
Les profils
Sous Wireshark, il est possible de personnaliser l’affichage des colonnes ainsi que la colorisation de certains types de trames ou paquets. On peut par exemple, lors du diagnostic d’un problème de lenteur réseau, vouloir afficher les numéros de séquences TCP en colonne. On peut vouloir aussi coloriser les retransmissions en rouge et ajouter une colonne calculée sur la latence applicative. Puis deux jours plus tard, en intervenant sur une problématique Wi-Fi, on souhaitera plutôt avoir le numéro du canal et l’intensité du signal en colonne et plus du tout les colonnes relatives à TCP.
Heureusement Wireshark permet la création, l’utilisation et le partage de profils. Un profil contient, entres autres, la configuration des colonnes et les paramètres de colorisation. Voici, en images, ce que donne le passage du profil par défaut à un profil Wireless:
Pour le Wi-Fi, je vous recommande l’utilisation de l’excellent profil mis à disposition par Metageek (éditeur de Chanalyzer et Eye PA) sur leur site.
Une fois le fichier zip contenant le profil en votre possession, sous Wireshark, faites un clic droit sur Profile en bas à droite de l’écran et choisir Importer > From zip file. Sélectionner le fichier zip de Metageek et c’est terminé 🙂
Utiliser des alias
Je ne sais pas pour vous, mais personnellement je préfère travailler avec des noms comme iPhone_Nicolas, AGV_A32 ou Imprimante_Bureau que ab:cd:ef:01:23:21, ef:dc:ab:23:45:54 et ad:23:17:bc:43:65 ! Cela facilite quand même beaucoup l’analyse du fichier ainsi que sa restitution à d’autres personnes par la suite.
Pour définir des alias sous Wireshark, cela se passe encore dans votre répertoire personnel, via le fichier ethers. Le fichier a une structure très simple, avec sur chaque ligne un couple adresse MAC et nom. Pas beaucoup plus d’explications à donner !
Les raccourcis de filtres d’affichage
Les captures de paquets sont souvent assez denses et il est nécessaire de faire le tri afin d’identifier les événements qui nous feront avancer dans notre analyse. Si l’on travaille sur un problème d’association d’un terminal à un réseau Wi-Fi, on souhaitera certainement, dans un premier temps, observer uniquement les requêtes d’association et cacher le reste. Il est possible d’enregistrer ces filtres usuels afin de les avoir sous la main lorsque l’on en a besoin. Voici une petite démonstration de leur utilisation:
On le voit, il est possible de se constituer une liste de filtres utiles et de mettre ses favoris en raccourcis en leur associant des boutons. La gestion de ces deux fonctions se fait respectivement depuis les menus Manage Display Filters et Filter Button Preferences:
Les commentaires
Je suis un grand fan de l’utilisation de commentaires sous Wireshark. Cela principalement pour deux raisons:
- me permet de retrouver le fil plus rapidement quand je reviens sur une trace après quelques temps,
- facilite le partage d’une analyse avec un client ou un collègue sans perdre la personne dans le détail des champs
Voici un exemple d’association d’un terminal à un réseau Wi-Fi, avec des commentaires. C’est quand même plus simple pour suivre le fil, non 😉
Pour ajouter un commentaire sur une trame c’est très simple, il suffit de faire un clic droit sur celle-ci et choisir Commentaire Paquet. Ensuite pour les afficher comme colonne, comme pour tout autre champs, on fait un clic droit sur le champs à afficher puis on choisit Appliquer en Colonne:
Et voilà pour ces quelques astuces qui permettent d’utiliser Wireshark beaucoup plus efficacement et ainsi de gagner un temps considérable lors de son utilisation sur le terrain. J’espère que vous aurez appris ou redécouvert des choses et que vous pourrez les appliquer lors de vos prochaines analyses 🙂
wifiblog.fr 
Bonjour
nous nous sommes vu en formation WIFI (PSA) , merci pour cela et votre blog , bien pour les novices en WIRESHARK comme moi .
J’aimeJ’aime
Merci Lionel, ravi que cela puisse être utile 🙂
J’aimeJ’aime