Webinaire Certificat de compétences

en Cybersécurité

SÉCURITÉ DES RÉSEAUX

Formateur: Dr. Babacar MBAYE

Email : [email protected]
Spécialités: Réseaux, Systèmes et Cybersécurité
 MODULE 3

WIRESHARK ET ANALYSE DE
PAQUETS FORENSIQUES

Dr. Babacar MBAYE

3 WIRESHARK • Outil d'analyse de réseaux et de protocoles, téléchargeable
gratuitement et utilisable sur diverses plateformes (Unix/Linux,
Windows, Mac,...)

• Outil pour comprendre les données que vous capturez à partir

d'un réseau

• Outil pour aider l'ingénieur légiste à prendre les bits et les

octets et à les présenter dans un format organisé, familier et
lisible par l'homme.

Dr. B. MBAYE
4 WIRESHARK Capture de paquets

• Capture les données d'une interface réseau

• Visualiser et capturer tous les paquets avec l'interface réseau
en mode promiscuous (surveillance)
• les données capturées sont interprétées et présentées sous
forme de "paquets" individuels
• peuvent être analysées immédiatement ou sauvegardées pour
plus tard
• Utilisez des dissecteurs pour analyser les données

• Rappel
✓ Les paquets sont les morceaux de données qui circulent
sur un réseau.
✓ Selon la couche, on a trames, datagrammes, paquets ou
segments.

Dr. B. MBAYE
5 WIRESHARK
Utilisation
• Rechercher la cause profonde d'un problème connu.
• Recherche d'un certain protocole ou flux entre des appareils.
• Pour analyser un timing spécifique, des drapeaux de protocole
ou des bits sur le fil.
• Pour découvrir quels dispositifs ou protocoles sont les plus
bavards.
• Pour obtenir une image approximative du trafic réseau
• Suivre une conversation entre deux appareils
• Wireshark est destiné aux personnes qui résolvent des
problèmes, aux détectives qui connaissent déjà bien leurs
suspects.
Dr. B. MBAYE
6 WIRESHARK
• Peut sembler brouillon avec les multitudes de paquets
• Il y a trop de paquets qui circulent !
• Que faire ?
✓ L'interface - sa disposition et son utilité
✓ Les filtres - comment ils fonctionnent pour révéler ce que
vous voulez.

Dr. B. MBAYE
7
CAPTURER • Comment...
DES PAQUETS ✓ sélectionnez un ou plusieurs des réseaux en cliquant sur
votre choix
✓ utilisez les touches Shift ou Ctrl si vous souhaitez
enregistrer les données de plusieurs réseaux
simultanément
✓ l'arrière-plan est ombragé en bleu ou en gris
✓ Cliquez sur Capture dans le menu principal
✓ Lorsque le menu déroulant apparaît, sélectionnez l'option
Start (Démarrer)
✓ Cliquez sur le bouton rouge pour Stopper

Dr. B. MBAYE
8
INTERFACE • Volet Liste de paquets
UTILISATEUR • Vue globale du trafic réseau
DE
WIRESHARK • Liste de tous les paquets capturés avec des informations
détaillées
• Colonnes : numéro, heure, source, destination, protocole,
longueur, info....
• Un code couleur est possible pour les paquets d'intérêt.

Dr. B. MBAYE
9 Volet Détails du paquet
INTERFACE • Informations détaillées pour
UTILISATEUR
• le paquet sélectionné
DE
WIRESHARK
• Informations disponibles
• Adresse IP/MAC (src, dst),
numéro de port, ..., jusqu'aux
octets du paquet.

• Présenté en rangées
• Rangées ordonnées selon
les couches OSI
• Veuillez observer les sous-
arbres... vérifiez-les tous.

Dr. B. MBAYE
10 Volet Octet du paquet
INTERFACE • Informations brutes (octets)
UTILISATEUR
du paquet... correspondant à
DE
WIRESHARK la ligne sélectionnée !
• A première vue, cela
ressemble simplement à du
charabia
• Mais... il contient des
informations utiles !
• Offsets, Hex, et ASCII
✓ Offset en Hex
(0x0010=16)
✓ Le point "." signifie que
Wireshark ne peut pas
décoder !

✓ Click droit de la souris

pour voir plus d'options.
Dr. B. MBAYE
11
INTERFACE Filtres
UTILISATEUR • "...Vous permettent de réduire le nombre de paquets dans la liste
DE
WIRESHARK des paquets de sorte que les flux de communication ou
certaines activités des périphériques réseau deviennent
immédiatement apparents...«

• Deux types de filtres

✓ Filtres de capture
✓ Filtres d'affichage
✓ Des syntaxes différentes !
❑ Filtres de capture
❑ Filtres d'affichage : syntaxe logique
Dr. B. MBAYE
12 Filtres de capture
INTERFACE • Les fichiers de capture deviennent trop
UTILISATEUR volumineux trop vite... le filtrage peut vous
aider !
DE • Choisissez les paquets à enregistrer... et ceux
WIRESHARK à ignorer. Exemples:

• Les éléments constitutifs d'un filtre de capture • dst host 192.168.1.1

✓ protocole : tcp, ip, ip6, ether, arp
• ip6 host alpha and not beta

✓ direction : src, dst (src ou dst, src et dst) • tcp port 80

• "ether src host 00:0c:29:57:b3:ff

✓ type : hôte, port, net, port range
• ether host 00:0c:29:57:b3:ff or
✓ Exple : capture uniquement le paquet broadcast
TCP avec le port de destination 22:
• ip host 192.168.0.1 or ip host
tcp dst port 22 192.168.0.5"
✓ Peut également spécifier : gateway,
broadcast, less, greater

✓ Combinés à l'aide de connecteurs

logiques : and(&&), or (||), not ( !)
Dr. B. MBAYE
13 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS • Opérations booléennes

❑ and ou && pour indiquer que les deux conditions doivent être
satisfaites

❑ or ou || pour indiquer qu'au moins une des conditions doit être

satisfaite

❑ not ou ! pour correspondre à tous les paquets ne remplissant

pas la condition.

Dr. B. MBAYE
14 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS • Opérations imbriquées

Dr. B. MBAYE
15 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS • Comparaison

Dr. B. MBAYE
16 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS • Conditions(Exemples de conditions de filtrage les plus utilisées)

Dr. B. MBAYE
17 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS • Conditions(Exemples de filtres prédéfinis)

Dr. B. MBAYE
18 Écriture du filtre d'affichage Wireshark
ANALYSE DES
PAQUETS

Dr. B. MBAYE
19
REGLES • Dans ce fouilles de paquets... lesquels sont apparentés ?
DE
COULEUR
• pour faciliter la distinction entre les différents types de paquets
• localiser rapidement certains paquets dans un ensemble
sauvegardé grâce à leur couleur de ligne

• 20 couleurs par défaut

• Vous pouvez également ajouter de nouveaux filtres basés sur la
couleur via l'interface coloring-rules

• Comment...
✓ En allant sur Vue -> Colorize Packet List
Dr. B. MBAYE
 TP1:
20
1. Arrêter la capture des paquets et les filtrer en ne gardant
que les protocoles arp et icmp

2. Garder seulement le trafic icmp et le colorer en noir sur un

fond rouge

3. Configurer le filtre "Capture->Capture Filter" pour

demander à Wireshark de ne capter que le trafic de type
icmp
21
OBJECTIFS • Analyser

✓ les champs dans un paquet

✓ les protocoles dans un paquet
✓ Paquet dans les flux

• Reconstruire les données de protocole de niveau supérieur à

partir des flux

• Outils et techniques

Dr. B. MBAYE
22
DÉFIS LORS • L'analyse des paquets n'est pas toujours possible
DE L'ANALYSE
DES PAQUETS ✓ Les données des paquets peuvent être corrompues ou
tronquées.
✓ Le contenu peut être crypté
✓ Le protocole utilisé peut être non documenté
✓ Le volume de données peut être trop important

Dr. B. MBAYE
23
ANALYSE DU • Objectifs : comprendre
PROTOCOLE ✓ comment fonctionne un protocole de communication
particulier,
✓ à quoi il sert,
✓ comment l'identifier,
✓ et comment le disséquer
• Dans un monde idéal, tous les protocoles seraient
soigneusement catalogués, rendus publics et mis en œuvre
conformément aux spécifications.

• ==> Ce n'est pas toujours vrai (secret - IP, concurrence, sécurité,

communication couverte) ..... mais pas toujours bien documenté
Dr. B. MBAYE
24
ANALYSE DU • Documentation : IETF
PROTOCOLE

• Les normes sont ce qu'elles sont....la conformité pendant la

mise en œuvre est autre chose...(délibérée ou non)

• Couramment exploité par les attaquants pour contourner les

systèmes de détection d'intrusion et les règles des pare-feu,
faire passer des données dans des endroits étranges.

Dr. B. MBAYE
25
OÙ TROUVER • RFC de l'IETF :
DES ✓ un moyen de développer, de communiquer et de définir des
INFORMATIONS
SUR LES normes internationales pour l'interréseautage.
PROTOCOLES ? ✓ Bien documenté
✓ Les documents Standard-Track ont plusieurs niveaux de
maturité.
❑ Proposition de norme
❑ Projet de norme
❑ Norme Internet (dotée d'un numéro de série et
publiée)
• IEEE (par exemple, 802.11, 802.3)
• ISO
Dr. B. MBAYE
26
OUTILS • Langages
D'ANALYSE
✓ Packet Details Markup Language (PDML) defines une
norme pour exprimer les détails des paquets pour les
couches 2-7 dans un format XML.

✓ Packet Summary Markup Language (PSML) est un

langage XML similaire pour exprimer les détails les plus
importants d'un protocole.

Dr. B. MBAYE
27
OUTILS • Langages
D'ANALYSE
✓ Packet Details Markup Language (PDML) defines une
norme pour exprimer les détails des paquets pour les
couches 2-7 dans un format XML.

✓ Packet Summary Markup Language (PSML) est un

langage XML similaire pour exprimer les détails les plus
importants d'un protocole.

Dr. B. MBAYE
28
OUTILS • Wireshark
D'ANALYSE
• Vue par défaut

✓ Liste de paquets

✓ Détails des paquets

✓ Octets de paquets

Dr. B. MBAYE
29
OUTILS • TSHARK
D'ANALYSE
✓ TShark est un outil basé sur la ligne de commande, qui
peut faire tout ce que fait wireshark.

✓ Sa structure de fonctionnement est assez similaire à

tcpdump, mais elle dispose de décodeurs et de filtres
puissants.

✓ Tshark est capable de capturer les informations des

paquets de données de différentes couches de réseau et
de les afficher dans différents formats.
Dr. B. MBAYE
30

FIN MODULE!

Dr. B. MBAYE