Wireshark · 3 min read · Dec 17, 2025
Capture à distance avec Wireshark
Capture à distance avec Wireshark
Falko a écrit un joli tutoriel avec quelques captures d’écran concernant l’utilisation de base de Wireshark.
Ce court tutoriel est sans captures d’écran mais présente un cas d’utilisation légèrement plus avancé de Wireshark, à savoir effectuer la capture sur une machine et visualiser les données capturées en temps réel sur une autre machine.
Préliminaire
L’article suivant décrit la manière dont j’ai installé et utilisé le logiciel, je ne garantis pas que la même méthode fonctionne pour vous. Vous devriez avoir quelques connaissances de base pour faire des choses dans un shell. Comme Wireshark fonctionne sur une grande variété de plateformes, cela devrait fonctionner sur presque toutes les plateformes prises en charge par Wireshark et Open-SSH. Dans mon cas, Debian et Ubuntu étaient impliqués.
1. Le Problème
Il s’est avéré que nous avions quelques problèmes subtils concernant le DNS, à savoir concernant le Reverse-DNS. Notre configuration est simple, nous avons des serveurs DNS locaux qui transmettent toutes les requêtes qu’ils ne peuvent pas résoudre à un DNS en amont, qui devrait s’occuper de la résolution de noms ultérieure. Le DNS en amont est administré par une autre organisation, ce qui a conduit aux habituels jeux de responsabilités “nous ne sommes pas coupables, notre équipement fonctionne bien, nous devons vous facturer les coûts, blabla …”. Soupir. J’ai donc réfléchi à la manière dont ce problème pourrait être analysé plus en profondeur, et je me suis rapidement souvenu de mon système décrit dans https://www.howtoforge.com/trafficanalysis-using-debian-lenny. Parfait, pensais-je, la machine est déjà à côté de l’en amont, et il devrait être facile de surveiller tout le trafic qui passe par l’en amont, et de jeter un œil sur tout le trafic lié au DNS, pour voir ce qui se passe.
Ma première idée était d’installer Wireshark directement sur cette machine, et avec l’aide d’un petit transfert X11, de voir ce qui se passe sur l’en amont. Mais il n’y avait pas assez d’espace disque pour installer Wireshark et toutes les bibliothèques liées à X11.
2. La Solution
Ma prochaine idée était de capturer le trafic sur la sonde dans un fichier, de copier ce fichier sur ma machine normale, et de le lire dans Wireshark. Mais quelle corvée, long et fastidieux, copier des fichiers ou au moins monter des disques sur le net. Mais la solution est si simple. Installez tshark (le petit frère en mode texte de Wireshark) sur la sonde, appelez-le à distance avec l’aide de ssh, et redirigez directement la sortie de tshark vers Wireshark ! Cette solution vient du Wiki de Wireshark, mais la simplicité m’a enthousiasmé et m’a poussé à écrire ce court tutoriel.
- Configurez une connexion ssh sans mot de passe sur la sonde comme décrit par exemple ici, et vérifiez que cela fonctionne.
- Sur votre machine locale où votre Wireshark attend de faire quelque chose d’utile, appelez-le simplement par
wireshark -k -i <( ssh -l root IP-de-la-sonde /usr/bin/tshark -i eth0 -w - port 53 )et profitez-en. Le trafic est filtré sur la sonde, de sorte que vous ne soyez pas submergé par la grande quantité de paquets qui peuvent voyager sur votre en amont. Le trafic capturé est transporté via une connexion ssh sécurisée et cryptée de la sonde à la machine de visualisation et vous pouvez voir en temps réel ce qui se passe sur l’en amont.
Dans mon cas, je n’avais pas besoin de filtrer le trafic ssh (comme dans l’exemple du Wiki de Wireshark), car l’écoute se fait sur eth0, et le trafic ssh passe par eth1.
Il existe d’autres méthodes décrites dans le Wiki de Wireshark utilisant des pipes nommés, mais cette méthode utilisant ssh me semblait la plus facile à mettre en place.
Un petit problème que j’ai eu en faisant cela, c’est que terminer Wireshark ne terminait pas tshark sur la sonde, mais un
pkill tsharksur la sonde a aidé, ou, si vous n’êtes pas connecté à la sonde
ssh root@sonde pkill tsharkdevrait également fonctionner.
Concernant notre problème de DNS, je pouvais immédiatement voir ce qui se passait. ;-)
3. URLs
- Tutoriel Wireshark de Falko : https://www.howtoforge.com/network-analysis-with-wireshark-on-ubuntu-9.10
- Ma sonde ntop : https://www.howtoforge.com/trafficanalysis-using-debian-lenny
- Wireshark + tshark : http://www.wireshark.org/
- Wiki de Wireshark : http://wiki.wireshark.org/
- libpcap + tcpdump : http://www.tcpdump.org/
- SSH : http://www.openssh.org/
- SSH sans mot de passe : http://www.debian-administration.org/articles/152
Recevez de nouveaux articles dans votre boîte de réception.
Aucun spam. Désabonnez-vous à tout moment.