« Tshark » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 35 : | Ligne 35 : | ||
----- | ----- | ||
Pour analyser efficacement le trafic réseau sur votre machine avec '''TShark''', voici une commande optimisée et expliquée en détail : | Pour analyser efficacement le trafic réseau sur votre machine avec '''TShark''', voici une commande optimisée et expliquée en détail : | ||
<span id="commande-recommandée-analyse-complète"></span> | <span id="commande-recommandée-analyse-complète"></span> | ||
=== '''Commande recommandée (analyse complète)''' === | === '''Commande recommandée (analyse complète)''' === | ||
Version du 19 mai 2025 à 22:37
Commandes de bases
Version en ligne de commande de Wireshark. Il est plus léger que l'interface graphique complète et peut être utilisé pour capturer et analyser le trafic réseau.
sudo apt-get install tshark
sudo tshark -i eth0
sudo tshark -i eth0 -f "host 192.168.1.10"
sudo tshark -i eth0 -f "port 853"
Afficher les paquets en temps réel
sudo tshark -i eth0 -Y "ip.addr == 192.168.1.10"
Analyse DNS ciblée
sudo tshark -i eth0 -f "port 53" -Y "dns" -T fields \
-e frame.time -e ip.src -e ip.dst -e dns.qry.name -e dns.qry.type -e dns.flags.response \
-E separator=, -E quote=d
Analyse DNS ciblée (montre seulement le trafic qui vient OU va vers 192.169.1.100)
ex : 192.169.1.100 = pihole
sudo tshark -i eth0 -f "port 53" -Y "ip.src == 192.168.1.100 || ip.dst == 192.168.1.100" -T fields \
-e frame.time -e ip.src -e ip.dst -e dns.qry.name -e dns.qry.type -e dns.flags.response \
-E separator=, -E quote=d
Pour analyser efficacement le trafic réseau sur votre machine avec TShark, voici une commande optimisée et expliquée en détail :
Commande recommandée (analyse complète)
sudo tshark -i eth0 -f "not port 22" -Y "not ssh" -T fields \
-e frame.time -e ip.src -e ip.dst -e proto -e tcp.port -e udp.port -e http.host -e dns.qry.name \
-E separator="|" -E header=y
Explications des options :
| Option | Description |
|---|---|
-i eth0
|
Capture sur l’interface réseau (remplacez par wlan0 pour le Wi-Fi).
|
-f "not port 22"
|
Filtre BPF (noyau) : exclut le trafic SSH pour réduire le bruit. |
-Y "not ssh"
|
Filtre d’affichage : supprime les paquets SSH résiduels. |
-T fields
|
Format de sortie en colonnes personnalisées. |
-e frame.time
|
Horodatage du paquet. |
-e ip.src / -e ip.dst
|
Adresses IP source et destination. |
-e proto
|
Protocole (TCP/UDP/ICMP, etc.). |
-e tcp.port / -e udp.port
|
Ports source/destination. |
-e http.host
|
Affiche les hôtes HTTP (si trafic web). |
-e dns.qry.name
|
Affiche les requêtes DNS. |
| " | Séparateur de colonnes (lisible). |
-E header=y
|
Affiche les en-têtes des colonnes. |
Exemple de sortie
frame.time|ip.src|ip.dst|proto|tcp.port|udp.port|http.host|dns.qry.name 2025-05-20 12:34:56|192.168.1.77|8.8.8.8|UDP| |53| |google.com 2025-05-20 12:34:57|192.168.1.77|151.101.1.69|TCP|443| |example.org|
Variantes selon l’analyse souhaitée
1. Analyse HTTP/HTTPS
sudo tshark -i eth0 -Y "http || ssl" -T fields -e ip.src -e http.host -e http.request.uri -e ssl.handshake.extensions_server_name
2. Surveillance DNS
sudo tshark -i eth0 -f "port 53" -Y "dns" -T fields -e frame.time -e ip.src -e dns.qry.name -e dns.flags.response
3. Détection de connexions suspectes
sudo tshark -i eth0 -Y "tcp.flags.syn==1 and tcp.flags.ack==0" -T fields -e ip.src -e ip.dst -e tcp.port
4. Export JSON pour analyse avancée
sudo tshark -i eth0 -T json -l > traffic.json
Optimisations
Pour réduire la charge CPU :
sudo tshark -i eth0 -f "not port 22 and not port 53" -s 128 -l
-s 128: Capture seulement les 128 premiers octets de chaque paquet.
-l: Affiche en temps réel sans buffer.
Pour capturer sur une durée limitée :
timeout 30 sudo tshark -i eth0 -w capture.pcap # Capture 30 secondes
Analyse post-capture
Si vous avez enregistré dans un fichier (.pcap) :
tshark -r capture.pcap -Y "http" -T fields -e http.host -e http.user_agent
Résumé des commandes clés
| Objectif | Commande |
|---|---|
| Analyse générale | sudo tshark -i eth0 -f "not port 22" -Y "not ssh" -T fields [...]
|
| Debug HTTP | sudo tshark -i eth0 -Y "http" -O http
|
| Surveillance DNS | sudo tshark -i eth0 -f "port 53" -Y "dns"
|
| Détection SYN scans | sudo tshark -i eth0 -Y "tcp.flags.syn==1 and tcp.flags.ack==0"
|
Pourquoi utiliser TShark plutôt que tcpdump ?
- Décodage des protocoles : TLS, HTTP/2, QUIC, etc.
- Filtres avancés : Syntaxe Wireshark (
http.request.method=="GET").
- Sorties structurées : JSON, CSV, XML.
Cette commande vous donne une vision complète et organisée du trafic sur votre machine. Utilisez les filtres (-Y) pour cibler des protocoles spécifiques selon vos besoins !