Guide étape par étape pour analyser une trame dans

Wireshark

1. Lancement de Wireshark et capture des paquets

· Ouvrez Wireshark.
· Sélectionnez l'interface réseau à surveiller (par exemple, Ethernet, Wi-Fi, etc.).
· Cliquez sur le bouton "Start Capturing Packets" (ou sur le bouton en forme de requin en haut à gauche)
pour commencer la capture.
·

2. Filtrage des paquets

· Wireshark peut capturer une grande quantité de données. Pour se concentrer sur les trames pertinentes,
vous pouvez utiliser des filtres de capture ou des filtres d'affichage.
· Exemple de filtre de capture pour un protocole particulier : tcp, udp, http, dns, etc.
· Exemple de filtre d'affichage pour les paquets avec une adresse IP spécifique : [Link] == [Link]

3. Analyse d'une trame

· Lorsque vous capturez des paquets, chaque ligne représente une trame capturée. En cliquant sur une
trame, vous pouvez voir ses détails dans le panneau du bas.
· Les détails sont structurés en couches et Wireshark fournit une vue détaillée de chaque couche du
paquet (par exemple, Ethernet, IP, TCP/UDP, etc.).

4. Analyse des couches d'une trame

Voici une brève description des différentes couches que vous pouvez rencontrer dans une trame :
· Ethernet : Si la capture concerne un réseau local (LAN), vous verrez la couche Ethernet, avec des
informations sur les adresses MAC source et destination, le type de protocole (IPv4, ARP, etc.).
· IP : La couche IP contient les informations sur le protocole IP, telles que l'adresse IP source et
destination, le TTL, etc.
· TCP/UDP : Ces protocoles de transport sont souvent utilisés pour la communication de données. Le
paquet TCP comprend des informations comme le numéro de port source et destination, le numéro de
séquence et l'acknowledgment.
· Application (HTTP, DNS, etc.) : Cette couche contient les informations spécifiques à l'application, par
exemple, la requête HTTP ou la réponse DNS.
·

5. Inspection d’un paquet spécifique

Cliquez sur un paquet pour en obtenir les détails.
Par exemple, si vous examinez une trame TCP, vous verrez :
Numéro de séquence et d'acknowledgment : Permet de suivre l'ordre et la réception des
paquets dans une session.
Flags : Les indicateurs TCP (SYN, ACK, FIN, etc.) sont utiles pour diagnostiquer les problèmes de
connexion.
Port Source/Destination : Cela permet de comprendre quel service est utilisé.
Pour une trame HTTP, vous pourrez voir la requête GET, POST, ou une réponse avec les données
envoyées depuis le serveur.

6. Reconstruction des flux

· Wireshark permet de reconstruire les flux complets, comme les connexions HTTP ou FTP, en
réassemblant les trames capturées.
· Vous pouvez utiliser le filtre [Link] pour voir toutes les trames faisant partie d’un même flux TCP.
7. Identification des problèmes
· Latence : Si vous remarquez de longs retards entre les paquets, cela peut indiquer un problème de
performance réseau.
· Pertes de paquets : Si des paquets sont perdus ou arrivent dans un ordre incorrect, cela peut être une
indication d’un problème de congestion.
· Problèmes de protocole : Un mauvais échange de paquets (comme des erreurs dans les échanges de
TCP, des réponses incorrectes dans DNS) peut signaler une défaillance dans l'application.

Exemples de filtres utiles :

· http: Pour capturer uniquement le trafic HTTP.

· [Link] == [Link]: Pour capturer les paquets provenant d'une adresse IP spécifique.
· [Link] == 80: Pour filtrer le trafic HTTP sur le port 80.
· dns: Pour filtrer uniquement les requêtes et réponses DNS.

Exercice 1 : Capturer et analyser des paquets simples

Objectif : Capturer les paquets réseau et analyser les détails d'une trame.
1. Ouvre Wireshark et commence la capture sur l'interface réseau de ton choix.
2. Lance un navigateur et accède à un site web (par exemple, [Link]
3. Arrête la capture après quelques secondes.
4. Filtre les paquets HTTP en utilisant le filtre http dans Wireshark.
5. Clique sur l'une des trames HTTP capturées. Analyse les informations suivantes :
Quelle est l'adresse IP source et destination ?
Quelle est la méthode HTTP utilisée (GET, POST) ?
Quel est le code de statut HTTP (200, 404, etc.) ?
6. Note les ports source et destination (en général, le port 80 pour HTTP).

Exercice 2 : Filtrage par adresse IP et analyse du

trafic
Objectif : Utiliser les filtres Wireshark pour analyser le trafic d'une adresse IP spécifique.
7. Lance une capture de paquets sur ton réseau.
8. Ouvre une fenêtre de terminal (ou invite de commande) et fais un ping vers une autre machine sur le
réseau (ou vers une IP publique comme [Link] pour Google DNS).
9. Après quelques secondes, arrête la capture et filtre les paquets en utilisant un filtre d'affichage basé sur
l'adresse IP, par exemple [Link] == [Link].
10. Examine les paquets ICMP capturés (protocole utilisé par ping).
Quelle est l'adresse source et destination ?
Quel est le type de message ICMP (Echo Request ou Echo Reply) ?
Quelles sont les valeurs du champ "Time to Live" (TTL) ?
11. Calcule le temps de réponse moyen en regardant les réponses ICMP.

Exercice 3 : Analyser une connexion TCP

Objectif : Analyser le processus de connexion et de fermeture d'une session TCP.
12. Lance une capture de paquets sur ton réseau.
13. Ouvre un site web en HTTPS (par exemple, [Link]
14. Arrête la capture après avoir chargé la page.
15. Applique un filtre pour capturer uniquement les paquets TCP : tcp.
 16. Trouve le flux TCP lié à la connexion HTTPS en utilisant le filtre [Link] eq X (remplace "X" par le
numéro de flux, que tu peux trouver en cliquant sur une trame TCP dans la capture).
17. Analyse les étapes suivantes dans le flux TCP :
Le processus de handshake (SYN, SYN-ACK, ACK).
Le transfert de données.
La fermeture de la connexion (FIN, ACK).
18. Quelle est la taille du segment TCP dans certains paquets de données ?

Exercice 4 : Analyser les requêtes DNS

Objectif : Analyser le trafic DNS pour comprendre la résolution des noms de domaine.
19. Lance une capture de paquets dans Wireshark.
20. Ouvre un navigateur et tape un nom de domaine (par exemple, [Link]).
21. Arrête la capture après quelques secondes.
22. Applique un filtre DNS : dns.
23. Trouve les requêtes et réponses DNS dans les trames capturées.
Quel est le nom de domaine demandé ?
Quelle est l'adresse IP associée dans la réponse DNS ?
Quel est le type d'enregistrement DNS (par exemple, A pour une adresse IPv4) ?
24. Observe les différents champs dans la requête DNS, comme le Question Section et le Answer Section.

Exercice 5 : Identifier les erreurs réseau

Objectif : Identifier des problèmes de réseau comme la perte de paquets ou la congestion.
25. Lance une capture de paquets sur ton réseau.
26. Utilise un outil comme ping ou traceroute pour envoyer des requêtes ICMP à une autre machine.
27. Analyse les paquets ICMP capturés dans Wireshark :
Si tu vois des paquets "Request Timed Out", cela signifie qu'un paquet a été perdu. Essaye de
déterminer si la perte est régulière ou sporadique.
Vérifie si le champ Time to Live (TTL) dans les paquets est correctement décrémenté.
Si tu vois des erreurs TCP comme Dup ACK, cela peut indiquer des problèmes de congestion
ou des paquets reçus dans un ordre incorrect.
28. Utilise un filtre pour analyser les paquets en double ou les retransmissions : [Link].

Exercice 6 : Inspecter les paquets HTTPS (SSL/TLS)

Objectif : Analyser un flux HTTPS (chiffré) et comprendre le processus SSL/TLS.
29. Lance une capture de paquets sur ton réseau.
30. Ouvre un site web HTTPS (par exemple, [Link]
31. Applique un filtre pour capturer uniquement les paquets SSL/TLS : ssl ou tls.
32. Examine les paquets dans le processus de handshake SSL/TLS :
Quelle est la version de SSL/TLS utilisée ?
Quelles sont les informations de chiffrement (cipher suite) négociées ?
Regarde si tu vois des messages comme ClientHello, ServerHello, Finished.
33. Tu ne pourras pas voir les données exactes (puisqu'elles sont chiffrées), mais tu pourras voir le processus
d'établissement sécurisé.