« Wireshark » : différence entre les versions

De Wiki doc

Aucun résumé des modifications
(→‎Configuration : Actualisation de la section pour coller à Debian 11 (et épuration des explications))
 
(3 versions intermédiaires par le même utilisateur non affichées)
Ligne 5 : Ligne 5 :
''Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie '''configuration''' qui suit.
''Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie '''configuration''' qui suit.
==Configuration==
==Configuration==
Par défaut, seul l'utilisateur root peut capturer les paquets. Nous allons utiliser une fonction de du noyau Linux afin de permettre à un utilisateur standard de le faire.
Par défaut, seul l'utilisateur ''root'' peut capturer les paquets (et ceux malgré le choix proposé à l'installation). Il convient alors d'utiliser la [https://forums.debian.net/viewtopic.php?p=370753 série d'actions] suivantes pour permettre son usage par un utilisateur standard (''root'' ne pouvant exécuter d'applications graphiques sous ''Gnome Wayland''...).


'''Création d'un groupe système dédié à la capture de trafic réseau'''
<syntaxhighlight lang="bash">
addgroup --system pcap
# Création du groupe "wireshark"
'''Ajout de notre utilisateur à ce groupe'''
groupadd wireshark
adduser toto pcap
# Ajout de l'utilisateur "yohan" à ce groupe
'''Modification des propriétés du programme dumpcap'''
usermod -a -G wireshark yohan
# Application de la modification à la session en cours (en pratique ne sert à rien)
newgrp wireshark
# Changement de groupe propriétaire pour le binaire de capture de paquets
chgrp wireshark /usr/bin/dumpcap
# Application des bons droits pour celui-ci
chmod 750 /usr/bin/dumpcap
# Ajout de capacités Linux permettant à un utilisateur standard de capturer des paquets
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# Affichage des capacités Linux attribuées au binaire
getcap /usr/bin/dumpcap
# Pérennisation des droits dans dpkg pour persistance après une mise à jour de dumpcap
dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap
# Affichage des paramètres dpkg configurés
dpkg-statoverride --list /usr/bin/dumpcap
</syntaxhighlight>


Avant modifications :
{{info|Il est obligatoire de redémarrer le système pour que cela fonctionne (ça ne devait pas être suffisamment chiant...).}}
ls -lh `which dumpcap`
''-rwxr-xr-x 1 root root 62K 4 mars 18:04 /usr/bin/dumpcap''
Modifications :
chgrp pcap /usr/bin/dumpcap
chmod 750 /usr/bin/dumpcap
Après modifications :
ls -lh /usr/bin/dumpcap
''-rwxr-x--- 1 root pcap 62K 4 mars 18:04 /usr/bin/dumpcap''
'''Mémorisation de ces nouvelles propriétés par le gestionnaire de paquets Debian'''
dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap
dpkg-statoverride --list /usr/bin/dumpcap
''Note : Toutes les mises à jour de paquets conserveront les changements de propriétés du programme en l'état.''


'''Modification du contexte de travail pour le programme ''dumpcap'' '''
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
getcap /usr/bin/dumpcap
''/usr/bin/dumpcap = cap_net_admin,cap_net_raw+eip''
{{Info|Les modifications prendront effets à la prochaines reconnexion de l'utilisateur.}}
=Filtres=
=Filtres=
Les filtres se tapent dans la barre en haut du logiciel
Les filtres se tapent dans la barre en haut du logiciel
Ligne 50 : Ligne 48 :
  ip.src == 192.168.1.42
  ip.src == 192.168.1.42
=Source=
=Source=
* https://www.inetdoc.net/articles/wireshark-as-user/index.html ou depuis [https://{{SERVERNAME}}/fichiers/réseaux/capture/wireshark/wireshark-as-user.pdf nos fichiers]
* https://blog.nicolargo.com/2011/05/capturer-et-analyser-un-trafic-reseau-avec-wireshark.html
* https://blog.nicolargo.com/2011/05/capturer-et-analyser-un-trafic-reseau-avec-wireshark.html

Dernière version du 25 juin 2022 à 15:57

Installation et configuration

Installation

apt install wireshark

Note: la réponse à la question posé par DPKG est sans importance car elle n'est pas codé (de toute évidence vu que le résultat escompté ne se produit pas). Nous allons le faire manuellement dans la partie configuration qui suit.

Configuration

Par défaut, seul l'utilisateur root peut capturer les paquets (et ceux malgré le choix proposé à l'installation). Il convient alors d'utiliser la série d'actions suivantes pour permettre son usage par un utilisateur standard (root ne pouvant exécuter d'applications graphiques sous Gnome Wayland...).

# Création du groupe "wireshark"
groupadd wireshark
# Ajout de l'utilisateur "yohan" à ce groupe
usermod -a -G wireshark yohan
# Application de la modification à la session en cours (en pratique ne sert à rien)
newgrp wireshark
# Changement de groupe propriétaire pour le binaire de capture de paquets
chgrp wireshark /usr/bin/dumpcap
# Application des bons droits pour celui-ci
chmod 750 /usr/bin/dumpcap
# Ajout de capacités Linux permettant à un utilisateur standard de capturer des paquets
setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
# Affichage des capacités Linux attribuées au binaire
getcap /usr/bin/dumpcap
# Pérennisation des droits dans dpkg pour persistance après une mise à jour de dumpcap
dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap
# Affichage des paramètres dpkg configurés
dpkg-statoverride --list /usr/bin/dumpcap

INFORMATION

Il est obligatoire de redémarrer le système pour que cela fonctionne (ça ne devait pas être suffisamment chiant...).

Filtres

Les filtres se tapent dans la barre en haut du logiciel

N'afficher que le protocole http

http

Masquer le protocole http

!http

N'afficher que le protocole http et dns

http || dns

Note : On peut aussi mettre or.

Ne pas afficher le protocole http et dns

!http && !dns

Note : On peut aussi mettre and.

Filtrer une adresse IP

ip.src == 192.168.1.42

Source