Département R&T Découverte de Wireshark

DÉCOUVERTE ET UTILISATION DE
WIRESHARK

JL Damoiseaux -1-
Département R&T Découverte de Wireshark

I) Travail préparatoire sous Knoppix

Récupérer un CD Knoppix et démarrez ensuite l’ordinateur en insérant celui-ci. Lorsque le
message boot apparaît, tapez sur la touche ↵. Lors du boot, si un message d’avertissement
indique qu’un mode vidéo est inconnu, appuyez sur la barre d’espacement pour poursuivre le
démarrage.
Après quelques secondes, Knoppix démarrera l‘interface graphique KDE, et une fenêtre
d‘informations sur Knoppix apparaitra. Fermer cette fenêtre.
Configurer maintenant vos paramètres régionnaux (et notamment le clavier) en cliquant sur le
drapeau situé en bas à droite dans la barre des taches. Nous vous conseillons le clavier Français,
mais bon chacun ses goûts.
Ouvrez un fenêtre Konsole, puis avec la commande su, passez de l‘utilisateur knoppix à
l‘administrateur (appelé également root).
Avec la commande ifconfig déterminer votre adresse réseau et votre adresse MAC.
Adr IP :
Adr MAC :
A partir de la Console, lancer alors wireshark &..

II) Travail préparatoire sous Window

Ouvrez un fenêtre Dos, puis avec la commande ipconfig déterminer votre adresse réseau et
votre adresse MAC.
Adr IP :
Adr MAC :
A partir du menu Démarrer -> Tous les programmes , lancer Wireshark.

III) Wireshark
Après le lancement de Wireshark, vous devriez voir apparaître la fenêtre suivante :

JL Damoiseaux -2-
Département R&T Découverte de Wireshark

Dans le menu capture, sélectionner le sous-menu Interfaces et lancer une capture de trame.
sur la carte réseau portant votre adresse IP. Parallèlement à ceci, dans la fenêtre dos/console, faite
un ping sur www.google.fr. Puis au bout de quelques secondes arrêter le ping par un
contrôle C, et arrêter également la capture en cliquant sur l’icône adéquate (voir image ci-desous).

Résultat d'une capture

Une fois la capture effectuée, vous obtiendrez la fenêtre suivante :

L'affichage des résultats se décompose en trois parties :

1) La liste des paquets capturés disponibles en dessous de la barre de menu avec un affichage
synthétique du contenu de chaque paquet.
2) La décomposition exacte du paquet actuellement sélectionné dans la liste. Cette
décomposition permet de visualiser les champs des entêtes des protocoles ainsi que
l'imbrication des différentes couches de protocoles connus.
3) La troisième zone contient la capture affichée en hexadécimal et en ASCII.

Chaque ligne de la liste des paquets (premier volet) correspond à une PDU de données capturées. Si
vous sélectionnez une ligne dans ce volet, ses détails s’affichent dans les volets du milieu et
inférieur.

Le volet du milieu affiche les détails de ce paquet. Les protocoles et les champs de protocole du
paquet sélectionné sont indiqués. Ils s’affichent sous la forme d’une arborescence que vous pouvez
développer ou réduire.

IV) Analyse de la capture du ping

Observez la liste des paquets de Wireshark et répondez aux questions suivantes :

JL Damoiseaux -3-
Département R&T Découverte de Wireshark

a) Avez-vous capturé un échange avec le DNS ?

b) Quel est le protocole utilisé avec la commande ping ?

c) Quel est le nom complet du protocole ?

d) Quels sont les noms des deux messages ping ?

Dans la première fenêtre, sélectionnez (mise en surbrillance) un paquet de requête d’écho (echo
ping request) de la liste à l’aide de la souris. Le volet du milieu affiche des informations
détaillées sur le paquet semblables à celles-ci :

Cliquez sur les quatre signes « + » pour développer les arborescences correspondantes.

Comme vous pouvez le constater, vous pouvez développer encore chaque section et protocole.
Consacrez un peu de temps à l’étude de ces informations. Il se peut que vous ne compreniez pas
toutes les informations affichées à ce stade du cours, mais notez toutefois celles que vous
reconnaissez.

a) Localisez deux types de « Source » et « Destination » différents. Pourquoi y en a-t-il

deux ?

b) Quels sont les protocoles inclus dans la trame ?

c) Dans la réponse du DNS, retrouvez l’adresse IP du site www.google.fr ?

JL Damoiseaux -4-
Département R&T Découverte de Wireshark

V) Analyse d’un trafic telnet

Lancez une capture de trames. Depuis la Console, lancez la commande telnet 10.26.0.186
(le username est cisco, et le password est cisco). Une fois connectez sur le routeur, tapez la
commande sh ip route, puis la commande exit. Arrêtez alors la capture.

Nous allons maintenant utilisez un filtre d’affichage pour n’afficher que les trames relatives au
protocole telnet. Pour cela, dans le champ Filter, vous allez saisir telnet puis cliquez sur
Apply.

En observant la première trame du protocole telnet, et en détaillant les PDU dans la deuxième
fenêtre, répondez aux questions suivantes :

a) Quelle est la valeur du champ Time to Live ?

A quoi ce champ peut-il servir ?

b) Quelle est la valeur du champ Protocol dans le paquet IP ?

c) Quel est le protocole de la couche transport utilisé par telnet ?

d) Examinez la totalité de la capture, en portant votre attention sur l'affichage en ASCII, et

retrouvez le mot de passe saisi1.

e) Quel équipement d’infrastructure vous permettrez de capturer, à partir de votre machine, un

mot de passe saisi par l’un de vos voisins ? Justifiez.

1
Si jamais vous n’y arrivez pas, sélectionnez n’importe quelle trame telnet, puis dans le menu Analyse, lancez la
commande Follow TCP Stream. Magique non !!!!

JL Damoiseaux -5-