Wireshark sur Linux : Détecter les intrusions réseau (Linux)
IntroductionCe tutoriel explique comment utiliser Wireshark sur Linux pour capturer et analyser le trafic réseau afin de détecter les intrusions. Wireshark est un analyseur de protocole réseau gratuit et open-source qui vous permet d'inspecter les données qui transitent sur votre réseau en temps réel.
Prérequis• Distribution Linux (ex: Ubuntu, Fedora, Debian)
• Wireshark installé (généralement disponible dans les dépôts de logiciels)
• Droits d'administrateur (ou utilisateur appartenant au groupe "wireshark")
Méthode 1 : Capture et analyse avec l'interface graphique de WiresharkCette méthode utilise l'interface graphique conviviale de Wireshark pour capturer et analyser le trafic réseau.
Étapes à suivre pour la méthode 1• Lancez Wireshark depuis le menu des applications ou en tapant
Code:
wireshark• Dans la liste des interfaces réseau, sélectionnez celle que vous souhaitez surveiller (ex: eth0, wlan0).
• Cliquez sur le bouton "Démarrer la capture".
• Wireshark commencera à capturer les paquets en temps réel.
• Pour arrêter la capture, cliquez sur le bouton "Arrêter la capture".
• Utilisez la barre de filtre pour afficher uniquement les paquets qui vous intéressent (ex:
Code:
tcp.port == 80• Analysez les paquets capturés en examinant les différentes colonnes.
• Double-cliquez sur un paquet pour afficher ses détails.
Méthode 2 : Capture avec tcpdump (outil en ligne de commande)tcpdump est un outil en ligne de commande puissant pour capturer le trafic réseau.
Étapes à suivre pour la méthode 2• Ouvrez un terminal.
• Utilisez la commande suivante pour capturer le trafic sur l'interface eth0 et l'enregistrer dans un fichier capture.pcap :
Code:
sudo tcpdump -i eth0 -w capture.pcap• Arrêtez la capture avec Ctrl + C.
• Analysez le fichier capture.pcap avec Wireshark.
Avantages des 2 méthodes Avantage de la méthode 1Interface graphique intuitive pour la capture et l'analyse.
Avantage de la méthode 2Capture flexible et puissante avec tcpdump, idéale pour les scripts et l'automatisation.
Inconvénients des 2 méthodes
Inconvénient de la méthode 1Peut consommer des ressources si la capture est longue et non filtrée.
Inconvénient de la méthode 2Nécessite une connaissance de tcpdump et une analyse ultérieure avec Wireshark.
AstuceUtilisez des filtres de capture pour réduire la quantité de données capturées. Par exemple, pour capturer uniquement le trafic SSH sur le port 22, utilisez le filtre
Code:
port 22
Mise en gardeLa capture du trafic réseau peut capturer des informations sensibles.
ConseilFamiliarisez-vous avec les différents protocoles réseau pour une analyse plus efficace.
Solution alternativeD'autres outils d'analyse réseau existent, comme ngrep (pour la recherche de motifs dans le trafic) ou tshark (version en ligne de commande de Wireshark).
• http://ngrep.sourceforge.net/
ConclusionWireshark est un outil essentiel pour l'analyse réseau et la détection d'intrusions sur Linux. En combinant les techniques de capture et d'analyse, vous pouvez renforcer la sécurité de votre système.
Source: Tutoriaux-Excalibur, merci de partager.
