Université Sultan Moulay Slimane

Faculté Polydisciplinaire Beni Mellal 2024/2025

Département Informatique SMI, S5
Réseaux

TP1: Analyseur Réseaux (Wireshark)

Wireshark
Wireshark est un logiciel d'analyse réseau (sniffer) qui permettant de visualiser
l'ensemble des données transitant sur la machine qui l'exécute, et d'obtenir des
informations sur les protocoles applicatifs utilisés. Les octets sont capturés puis
regroupés en blocs d'informations et analysés par le logiciel. De nombreuses
distributions linux incluent Wireshark dans leur gestionnaire de paquet.

Lancement de Wireshark
Wireshark permet d'analyser un trafic enregistré dans un fichier annexe, mais
également et surtout le trafic en direct sur des interfaces réseau.
Depuis votre système d’exploitation utilisé, démarrez Wireshark.
Accédez au menu Capture - Options.

Figure 1: fenêtre d'ouverture de Wireshark

Capture des trames sur le réseau

Cliquez sur la ligne correspondant à l’interface active (ici Ethernet).
Déclenchez une capture de trames en cliquant sur Démarrer
Une fois lancée, la capture peut être interrompue en cliquant sur le bouton arrêté
(capturearrêter). Ce bouton n'est actif uniquement lors d'une capture. Lorsqu'une
1
 capture est active, le logiciel présente l'interface de l'analyseur (Figure 3). Cette interface
reste ensuite visible lorsque la capture est arrêtée.

Figure 3: interface de l'analyseur

L'interface de l'analyseur est découpée en trois zones :
• Zone supérieure, numérotée (1) sur Figure 3 : liste l'ensemble des paquets capturés
• Zone centrale, numérotée (2) sur Figure 3 : affiche le détail d'un paquet sélectionné
dans la liste des paquets de la zone supérieure. Les informations présentées y sont de
loin les plus pertinentes, puisqu'il est possible de visualiser aisément les différents
en-têtes résultant de l'encapsulation d'un message.
• Zone inférieure, numérotée (3) sur Figure 3 : présente l'ensemble du paquet sous
forme octale et ASCII. Ces octets contiennent les en-têtes des différentes couches
de l'architecture TCP/IP ainsi que les données transmises par le processus à l'origine
du message.

Analyse d'un paquet

Encapsulation d'un paquet

Lorsqu'un paquet est sélectionné, la zone centrale permet de visualiser clairement les
différentes couches d'encapsulation du paquet. Par exemple si l'on sélectionne un paquet de
type UDP, la zone centrale pourrait afficher quelque chose de similaire à ce qui est présenté
Figure 4. Les 5 entrées présentées correspondent à différentes encapsulations, ordonnées de
la couche la plus basse à la couche la plus haute :
1. Données sur le média de capture : Wire = filaire sur Figure 4
2. Trame relative à la couche liaison de donnée : Ethernet II sur Figure 4
3. Paquet relatif à la couche réseau : Internet Protocol sur Figure 4
4. Datagramme relatif à la couche transport : User Datagram Protocol sur Figure
4
2
 5. Données de l'application : regroupe généralement les couches session,
présentation, application.

Figure 4:Encapsulation d'un paquet UDP, zone centrale de l'analyseur.

Détail de chaque niveau d'encapsulation

Figure 5: Visualisation détaillée des en-têtes d'un paquet

Pour tout item correspondant à un niveau d'encapsulation, un clic sur le triangle en

début de ligne permet de dérouler l'en-tête afin de voir l'ensemble des champs le
composant. Certains champs peuvent également être déroulés. Sur l'exemple présenté en
Figure 5, nous avons étendu les entrées correspondant aux couches réseau, transport et
application en cliquant sur les triangles correspondants. Nous pouvons voir entre autre
que :
• Le paquet est de type IP v4 : ref (2) sur Figure 5
• Le type de données de ce paquet IP est un datagramme UDP : ref (5) sur Figure 5
• L'adresse IP de la machine source est [Link] : ref (6) sur Figure 5
• L'adresse IP de la machine destination est [Link] : ref (7) sur Figure 5
Nous pouvons également faire un point sur la taille des données et des en-têtes à
différents niveaux d'encapsulation :
3
 • La taille des données envoyée par le processus est de 23 octets : ref (9) sur Figure 5
• La taille totale du datagramme UDP est de 31 octets - ref (8) sur Figure 5 - . Cette
valeur est la somme entre la taille réelle des données (23 octets) et 8 octets d'en-
tête du paquet (8 étant une valeur fixe pour un paquet UDP)
• La taille des en-têtes du paquet IP est de 20 octets : ref (3) sur Figure 5
• Le paquet IP contient un en-tete (20 octets) ainsi que le datagramme UDP
(31 octets). Sa taille totale est de 51 octets, taille rappelée en ref (4) sur
Figure 5
• La taille totale du paquet IP est de (flèche ). Cette valeur somme la taille du paquet
UDP à la taille de l'en-tête IP.
• Si l'on ajoute 12 octets d'en-tete pour la couche Ethernet II (taille fixe), la taille
totale de la trame est de 65 octets, comme présentée en ref (1) sur Figure 5.

Notons ainsi que pour transférer 23 octets de données brutes, il nous a fallu
transférer au total 65 octets (en fait il nous a même fallu transférer des octets
supplémentaires avant la trame Ethernet. Ces octets seront ici passés sous silence).

Visualisation octale de la trame

La zone inférieure permet de visualiser la trame capturée sous forme octale. Un
clic sur n'importe lequel des niveaux d'encapsulation permet de visualiser la portion
d'octets correspondante dans la zone inférieure de l'analyseur.
Pour n'importe quel niveau, un clic sur une valeur de champs permet de visualiser
la portion d'octets correspondant à cette valeur dans le paquet au niveau de la zone
inférieure de l'analyseur. Réciproquement, un clic sur un octet quelconque affiche le
champ correspondant dans la zone centrale. Ainsi dans l'exemple présenté en figure
Figure 5, un clic sur le champ « Source » de la couche réseau - voir ref (6) sur Figure 5 -
mettra en évidence dans la zone inférieure les octets codant cette source - voir ref (10)
sur Figure 5 - et réciproquement.
Signalons enfin qu'il est possible de visualiser les données transmises dans ce
datagramme UDP. En cliquant sur l'entrée « Data » de la zone centrale, les octets
correspondants mais également leur codage ASCII seraient mis en évidence dans la zone
inférieure. En examinant ce codage ASCII, il est parfois très facile de décoder les
messages. Si l'on examine les derniers caractères ASCII représentant le message - ref
(11) sur Figure 5 - on devine aisément que le message envoyé était « test d'envoi de
message ».

Filtrage de paquets

Principe et mise en place d'un filtre

L'intégralité des paquets capturés est listée dans la zone supérieure de l'analyseur.
Il est souvent utile de filtrer les paquets à capturer, afin de pouvoir visualiser
correctement un certain type de paquets seulement. Wireshark permet de filtrer les
paquets à capturer en fonction des informations des différentes couches d'encapsulation.
La mise en place d'un filtre s'effectue par le biais d'une règle de filtre à définir dans la zone «
filtre » de l'analyseur. Une règle de filtre est constituée d'un ensemble de tests d'expressions
impliquant des noms de champs et des valeurs. Un paquet n'est alors listé qu'à la condition
qu'il satisfasse les conditions du filtre. L'ensemble des champs utilisables dans l'établissement
4
des règles est listé dans la fenêtre pop-up accessible en cliquant sur le bouton « expression ».
Les règles peuvent être élaborées en sélectionnant les champs à partir de cette fenêtre, ou en
les écrivant directement dans la zone de filtre. Un ensemble de filtres prédéfinis est accessible
en cliquant sur le bouton « filter ». Cette liste de filtres peut être complétée d'entrées
enregistrées.. Une fois le filtre défini, il ne faut pas oublier de l'appliquer avec le bouton «
Apply ».

Quelques filtres

Nous terminerons ce tutoriel en énonçant quelques filtres possibles :

Désignation Filtre associé :

Segments TCP uniquement ................................. tcp

Paquets relatifs à TCP uniquement......................[Link] == 0x06
Adresse ip [Link] ou [Link]................[Link] == [Link] ||
[Link] == [Link]
Trafic HTTP uniquement .................................... http
Segment TCP sauf sur port 80 ............................. tcp && !([Link] == 80)
Adresse Ethernet [Link].................[Link] == [Link]
Trafic [Link] vers [Link]................. [Link] == [Link] &&
[Link] == [Link]
Trafic UDP entre ports 40 et 67...........................udp && [Link] >= 40 &&
[Link] <=67
Trafic MSN.......................................................... tcp && [Link] ==1863

5
 Pratique: Internet Control Message Protocol (ICMP)

Protocoles et outils étudiés

• Commande ping.
• Internet Control Message Protocol ou ICMP ; messages de type : Echo, Echo Reply
• Commandes tracert.
• Internet Protocol ou IP ; champ de l'en-tête IP : Time to Live.

Commande ping
1. Lancer Wireshark.
2. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
3. Lancer une console et taper une commande du type ping –n 10 [Link].
L'option - n 10 limite le nombre de requêtes ICMP à 10. Bien sûr, le choix de l'adresse à
contacter est totalement libre.
4. Arrêter la capture lorsque l'invite de commande réapparaît à la console.
5. Sauvegarder le fichier de capture.

Analyse avec ping

Pour répondre aux questions suivantes, utiliser le résultat de la capture issue de l'étape
précédente.

 Protocoles capturés

1. Quels sont les protocoles indiqués dans la colonne Protocol de la fenêtre de liste des
trames capturées ? Il est probable que les paquets ICMP soient précédés d'un jeu de
question/réponse DNS.
2. Relever l'adresse IP renvoyée avec la réponse DNS.

 Message ICMP «Echo Request»

Étude du paquet IP qui correspond au premier message ICMP Echo Request.

1. Quelle est l'adresse IP destination du paquet ? Quelle est la valeur du champ Protocol
Type? Quelle est la valeur du champ Time to Live ?
2. Quel est le type de message ICMP ? Quel est l'identificateur de message ? Quel est le
numéro de séquence ?
3. Sélectionner à la souris les octets de données du message de requête. Comparer ces
données avec celles affichées dans la fenêtre d'affichage brut.
6
  Message ICMP «Echo Reply»
Étude du paquet IP qui correspond au premier message ICMP Echo Reply.
1. Quelle sont les adresses IP source et destination du paquet ? Quelle est la valeur du
champ Protocol Type ?
2. Quelle est la valeur du champ Time to
Live ? Étude du message ICMP.
1. Quel est le type de message ICMP ? Comparer l'identificateur de message et le numéro de
séquence du message de réponse avec les valeurs du message de requête.
2. Sélectionner à la souris les octets de données du message de requête. Comparer ces
données avec celles affichées dans le message de requête.

Commande tracert

1. Lancer Wireshark.
2. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
3. Lancer une console et taper une commande du type tracert [Link]. Bien sûr, le
choix de l'adresse à contacter est totalement libre.
4. Arrêter la capture lorsque l'invite de commande réapparaît à la console.
5. Sauvegarder le fichier de capture.
La plage de ports UDP utilisée par défaut par la commande tracert est de plus en plus
fréquemment bloquée par les équipements d'interconnexion.

Analyse avec tracert

Pour répondre aux questions suivantes, utiliser le résultat de la capture issue de l'étape
précédente.

 Protocoles capturés

1. Quels sont les protocoles indiqués dans la colonne Protocol de la fenêtre de liste des
trames capturées ?
 Message UDP

1. Quelle est l'adresse IP destination du premier paquet contenant le message UDP ? Quelles
sont les valeurs des champs Protocol Type et Time to Live ?

2. Comparer l'adresse IP destination relevée avec celle de la réponse DNS. Noter les valeurs
caractéristiques de l'en-tête IP en vue d'une utilisation ultérieure.
3. Combien d'octets de données sont présents dans ce message de requête ?
7