I. Présentation

Dans ce tutoriel, nous allons aborder la gestion de la capture continue sur Wireshark et les différentes options que nous pouvons utiliser pour éviter de saturer en mémoire vive ou en espace disque lors d’une capture sur une longue période.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Tutoriel - Wireshark - Comment décoder un protocole ?
• Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
• Téléchargement - Wireshark

II. Configuration des fichiers de capture de sortie

La configuration des options de capture s’effectue au lancement de Wireshark avant de lancer une capture réseau. Il suffit de cliquer sur l'icône en forme de roue cranter en haut pour accéder aux paramètres de configuration de la capture réseau.

Une nouvelle fenêtre s’ouvre sur les options de capture.

Par défaut on arrive sur l’onglet « Entrée », ici on sélectionne notre carte réseau à partir de laquelle nous souhaitons capturer le trafic réseau.

Pour configurer les options de sorties, il faut aller sur l’onglet « Sortie ».

L’onglet sortie permet de configurer la création de nouveaux fichiers suivant certains paramètres que nous allons détailler.

La première partie correspond à la configuration du nom et de l’emplacement du fichier de capture.

En dessous de « Capture vers un fichier permanent », cliquez sur « Parcourir… ». Une nouvelle fenêtre s’ouvre pour vous permettre d'indiquer l’emplacement de la capture et le nom de votre fichier de capture.

Une fois que vous avez choisi l’emplacement et le nom de votre fichier de capture, vous cliquez sur « Enregistrer » pour prendre en compte la modification. Ici, je vais appeler mon fichier  "capture_continu" tout simplement.

Ensuite, il faut configurer le format du fichier de capture, deux choix possibles : pcap qui est le format historique ou pacpng qui est le format de fichier de capture plus récent. Ici je vais choisir « pcapng ».

Maintenant que notre fichier de capture est configuré, nous allons voir comment effectuer une trace réseau circulaire.

La trace réseau circulaire permet de créer plusieurs fichiers de capture qui ont pour but :

• Réduire la taille du fichier capture
• Faciliter l’analyse avec des fichiers plus petits
• Eviter la saturation mémoire de votre ordinateur pour la gestion du fichier en écriture en live et d’analyse du fichier à froid avec Wireshark

Je vais m’appuyer sur l’image ci-dessus pour expliquer les différentes possibilités.

Pour effectuer un fichier de capture circulaire, il faut cocher l’option « Crée un nouveau fichier de capture automatiquement… ».

Après, nous allons spécifier comment Wireshark va créer un nouveau fichier :

• Sur le nombre de paquets capturés
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures
• Un multiple de temps en secondes, minutes ou heures par rapport à l’horloge de votre ordinateur

Personnellement, j’utilise seulement l’option de la taille de la capture et je limite à 100Mo pour éviter d’avoir des fichiers trop lourds à charger pour l’analyse a posteriori.

Vous avez la possibilité aussi de compresser le fichier de capture au format gzip.

La dernière option disponible est d’utiliser un tampon circulaire, attention cette option écrase le fichier le plus ancien.

Je m'explique. Vous spécifier un tampon circulaire de 5 fichiers. Quand il va écrire le sixième fichier, il va écraser le premier fichier de capture car, vous aurez seulement cinq fichiers d’enregistrés sur votre disque.

Après avoir expliqué les options de sortie, voici ma configuration pour ce tutoriel :

N.B : il est possible de cocher plusieurs conditions.

III. Configuration des options du fichier de capture

Maintenant il reste un onglet à configurer : « Options ».

Donc, cliquez sur l’onglet « Options ».

Dans notre tutoriel, la partie qui va nous intéresser et les options d’arrêt de la capture.

Comme pour la création d’un fichier de capture, nous allons retrouver les mêmes possibilités :

• Le nombre de paquets
• Le nombre de fichiers
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures

On peut spécifier un répertoire pour stocker les fichiers de capture temporaires.

Pour ce tutoriel, je vais spécifier un arrêt de capture après trois fichiers créés :

IV. Démonstration

A. Lancer la capture

Pour rappel, la configuration de la capture continue est la suivante :

• Format du fichier de capture : pcapng
• Activation de la création d’un nouveau fichier de capture avec comme option création d’un nouveau fichier tous les cinquante paquets
• Un arrêt automatique au bout de trois fichiers créés

Il ne reste plus qu’à lancer Wireshark en cliquant sur le bouton « Démarrer ».

Une fois la capture lancée, Wireshark va créer automatiquement les trois fichiers de 50 paquets et s’arrêter à ce dernier.

B. Naviguer entre les différents fichiers de capture

Pour lister les différents fichiers de capture, cliquer sur le menu « Fichier », ensuite encore une fois sur « fichier » et cliquez sur « Liste des fichiers ». Vous pouvez aussi naviguer entre les fichiers en utilisant les options de « Fichier suivant » et « Fichier précédent ».

Une nouvelle fenêtre s’ouvre.

En haut à gauche, Wireshark indique le nombre de fichiers et en bas l’emplacement des fichiers de capture. Pour accéder au contenu d'un fichier, il suffit de double cliquer dessus.

IV. Conclusion

Ce tutoriel va vous permettre de ne pas saturer votre ordinateur tout en prenant une trace réseau de longue durée ! Le prochain article sera sur la fusion de plusieurs fichiers de capture.

The post Wireshark : créer une capture en continue (sans saturer sa machine) first appeared on IT-Connect.