Wireshark

De Wiki doc

Révision datée du 25 juin 2022 à 15:57 par Ycharbi (discussion | contributions) (→‎Configuration : Actualisation de la section pour coller à Debian 11 (et épuration des explications))
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Installation et configuration

Installation

apt install wireshark

Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie configuration qui suit.

Configuration

Par défaut, seul l'utilisateur root peut capturer les paquets (et ceux malgré le choix proposé à l'installation). Il convient alors d'utiliser la série d'actions suivantes pour permettre son usage par un utilisateur standard (root ne pouvant exécuter d'applications graphiques sous Gnome Wayland...).

# Création du groupe "wireshark"
groupadd wireshark
# Ajout de l'utilisateur "yohan" à ce groupe
usermod -a -G wireshark yohan
# Application de la modification à la session en cours (en pratique ne sert à rien)
newgrp wireshark
# Changement de groupe propriétaire pour le binaire de capture de paquets
chgrp wireshark /usr/bin/dumpcap
# Application des bons droits pour celui-ci
chmod 750 /usr/bin/dumpcap
# Ajout de capacités Linux permettant à un utilisateur standard de capturer des paquets
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# Affichage des capacités Linux attribuées au binaire
getcap /usr/bin/dumpcap
# Pérennisation des droits dans dpkg pour persistance après une mise à jour de dumpcap
dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap
# Affichage des paramètres dpkg configurés
dpkg-statoverride --list /usr/bin/dumpcap

INFORMATION

Il est obligatoire de redémarrer le système pour que cela fonctionne (ça ne devait pas être suffisamment chiant...).

Filtres

Les filtres se tapent dans la barre en haut du logiciel

N'afficher que le protocole http

http

Masquer le protocole http

!http

N'afficher que le protocole http et dns

http || dns

Note : On peut aussi mettre or.

Ne pas afficher le protocole http et dns

!http && !dns

Note : On peut aussi mettre and.

Filtrer une adresse IP

ip.src == 192.168.1.42

Source