Comment utilisez-vous Wireshark pour l’analyse TCP UDP ?

1. Capturer le trafic :

* Sélection de l'interface : Démarrez Wireshark. Une liste d’interfaces réseau vous sera présentée. Choisissez l’interface sur laquelle circule le trafic TCP/UDP que vous souhaitez analyser. C’est crucial. Choisir la mauvaise interface capturera des données non pertinentes. Si vous n'êtes pas sûr, regardez les noms et les descriptions des interfaces :un adaptateur Wi-Fi sera clairement étiqueté comme tel.

* Démarrer la capture : Cliquez sur le bouton "Démarrer" pour commencer à capturer les paquets. Wireshark commencera à capturer tout le trafic sur l'interface sélectionnée. Laissez la capture s'exécuter pendant une durée suffisante pour vous assurer de capturer les événements pertinents.

* Filtrage (facultatif, mais fortement recommandé) : Pour éviter de vous submerger de données non pertinentes, utilisez des filtres. Vous pouvez filtrer par :

* Protocole : `tcp` ou `udp` afficheront respectivement uniquement les paquets TCP ou UDP.

* Adresse IP : `ip.addr ==192.168.1.100` affichera uniquement les paquets vers ou depuis cette adresse IP.

* Port : `tcp.port ==80` affichera uniquement le trafic TCP sur le port 80 (HTTP). `udp.port ==53` affichera uniquement le trafic UDP sur le port 53 (DNS).

* Combinaison : Vous pouvez combiner des filtres. Par exemple, `tcp et port 80 et ip.addr ==192.168.1.100` afficheront uniquement le trafic TCP sur le port 80 vers ou depuis 192.168.1.100. Utilisez `||` (ou) pour combiner différents critères de filtre.

* Afficher les filtres : Ces filtres sont appliqués *une fois* la capture terminée et affectent ce qui est affiché. Ils sont appliqués dans le champ « Filtre d'affichage » en haut de la fenêtre Wireshark.

* Filtres de capture : Ces filtres sont appliqués *avant* même le début de la capture, indiquant à Wireshark de capturer uniquement les paquets correspondant aux critères de filtre. Ils sont définis dans la boîte de dialogue "Capturer les filtres".

2. Analyse du trafic capturé :

Une fois que vous avez capturé le trafic concerné, Wireshark présente les paquets dans une liste. Chaque ligne représente un seul paquet. Les colonnes clés comprennent :

* N° : Numéro de paquet.

* Heure : Horodatage de l’arrivée du paquet.

* Source : Adresse IP et port source.

* Destination : Adresse IP et port de destination.

* Protocole : Protocole utilisé (TCP, UDP, etc.).

* Longueur : Longueur du paquet.

Analyse TCP spécifique :

* Flux TCP : Cliquez avec le bouton droit sur un paquet TCP et sélectionnez « Suivre » -> « Flux TCP ». Cela vous montrera l'intégralité de la conversation entre la source et la destination, en reconstruisant souvent les données au niveau de l'application (par exemple, les requêtes et réponses HTTP).

* Drapeaux de segment TCP : Examinez les indicateurs TCP (SYN, ACK, FIN, RST, PSH, etc.) dans les détails du paquet. Ces indicateurs sont cruciaux pour comprendre l’état de la connexion TCP.

* Numéros de séquence et d'accusé de réception : Analysez les numéros de séquence et d'accusé de réception pour comprendre le flux de données et identifier les retransmissions potentielles (en raison de la perte de paquets).

* Taille de la fenêtre : Observez la taille de la fenêtre pour diagnostiquer les problèmes potentiels de contrôle de la congestion.

Analyse UDP spécifique :

* Suivez le flux UDP : Cliquez avec le bouton droit sur un paquet UDP et sélectionnez « Suivre » -> « Flux UDP ». Contrairement à TCP, UDP ne garantit ni la livraison ni la commande. Le flux affichera simplement les données brutes envoyées dans chaque paquet UDP.

* Inspection de la charge utile : Examinez la charge utile du paquet UDP pour comprendre les données au niveau de l'application (par exemple, requêtes et réponses DNS). Il faut souvent connaître le protocole de l'application (DNS, DHCP, etc.) pour interpréter correctement la charge utile. Les dissecteurs de protocole de Wireshark y contribuent.

3. Utilisation des fonctionnalités de Wireshark :

* Hiérarchie des protocoles : Le volet des détails du paquet affiche une répartition hiérarchique de la structure du paquet, vous permettant d'examiner chaque couche (Ethernet, IP, TCP/UDP, application).

* Codage couleur : Wireshark utilise un codage couleur pour mettre en évidence différents aspects du trafic réseau, tels que les retransmissions TCP.

* Informations d'experts : Recherchez les avertissements et les erreurs signalés dans la section « Informations sur les experts ». Cela peut mettre en évidence des problèmes potentiels tels que des paquets perdus ou des problèmes de connexion.

* Statistiques : Wireshark fournit diverses statistiques pouvant fournir des résumés du trafic capturé.

Exemples de scénarios :

* Dépannage d'une connexion à un site Web : Capturez le trafic lorsque vous tentez d'accéder à un site Web, filtrez par « tcp et port 80 » ou « tcp et port 443 », et examinez les requêtes et réponses HTTP dans le flux TCP pour identifier les problèmes.

* Analyse des requêtes DNS : Capturez le trafic, filtrez par « udp et port 53 » et examinez les requêtes et réponses DNS pour voir quels serveurs DNS sont contactés et quels enregistrements sont demandés.

* Enquête sur la congestion du réseau : Capturez le trafic et analysez la taille des fenêtres TCP et les retransmissions pour identifier les points de congestion potentiels.

En utilisant efficacement le filtrage, le suivi des flux et l'examen des détails des paquets, Wireshark vous permet d'analyser en profondeur le trafic TCP et UDP, vous aidant ainsi à diagnostiquer les problèmes de réseau et à comprendre le comportement du réseau. N'oubliez pas de consulter la documentation complète de Wireshark pour des techniques plus avancées.