Aide-mémoire Wireshark – Commandes, captures, filtres et raccourcis
Toutes les informations qui ont été fournies dans l'aide-mémoire sont également visibles plus bas cette page dans un format facile à copier et coller.
L'aide-mémoire couvre :
- Modes de capture Wireshark
- Types de filtres
- Syntaxe du filtre de capture
- Syntaxe du filtre d'affichage
- Protocoles – Valeurs
- Filtrage des paquets (filtres d'affichage)
- Opérateurs logiques
- Colonnes par défaut dans une sortie de capture de paquets
- Objets divers
- Raccourcis clavier
- Commandes de filtrage courantes
- Éléments principaux de la barre d'outils
Afficher ou télécharger l'image JPG de l'aide-mémoire
Faites un clic droit sur l'image ci-dessous pour enregistrer le fichier JPG (2500 largeur x 2096 hauteur en pixels), ou cliquez ici pour l'ouvrir dans un nouvel onglet de navigateur . Une fois l'image ouverte dans une nouvelle fenêtre, vous devrez peut-être cliquer sur l'image pour zoomer et afficher le jpeg en taille réelle.
Afficher ou télécharger l'image JPG de l'aide-mémoire
Cliquez sur le lien pour télécharger le Aide-mémoire PDF . S'il s'ouvre dans un nouvel onglet de navigateur, faites simplement un clic droit sur le PDF et accédez à la sélection de téléchargement.
Qu'est-ce qui est inclus dans l'aide-mémoire de Wireshark ?
Les catégories et éléments suivants ont été inclus dans l'aide-mémoire :
Modes de capture Wireshark
Mode promiscuité | Définit l'interface pour capturer tous les paquets sur un segment de réseau auquel elle est associée. | |||||||||||
Mode moniteur | configurer l'interface sans fil pour capturer tout le trafic qu'elle peut recevoir (Unix/Linux uniquement) | |||||||||||
Types de filtres
Filtre de capture | Filtrer les paquets pendant la capture | ||||
Afficher le filtre | Masquer les paquets d'un affichage de capture |
Syntaxe du filtre de capture
Syntaxe | protocole | direction | hôtes | valeur | Opérateur logique | Expressions | |||||||||||||
Exemple | tcp | src | 192.168.1.1 | 80 | et | TCP DST 202.164.30.1 | |||||||||||||
Syntaxe du filtre d'affichage
Syntaxe | protocole | Chaîne 1 | Chaîne 2 | Opérateur de comparaison | valeur | opérateur logique | Expressions | ||||||||||||
Exemple | http | commencer | adresse IP | == | 192.168.1.1 | et | port TCP | ||||||||||||
Protocoles – Valeurs
éther, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp et udp |
Filtrage des paquets (filtres d'affichage)
Opérateur | Description | Exemple | |||||
eq ou == | Égal | ip.dest == 192.168.1.1 | |||||
non ou != | Inégal | ip.dest != 192.168.1.1 | |||||
gt ou > | Plus grand que | frame.len > 10 | |||||
ll ou< | Moins que | cadre.len<10 | |||||
ge ou >= | Meilleur que ou égal | frame.len >= 10 | |||||
le ou<= | Inférieur ou égal | cadre.len<=10 | |||||
Objets divers
Opérateur de tranche | […] - Plage de valeurs | ||||||
Opérateur d'adhésion | {} - Dans | ||||||
CTRL+E- | Démarrer/Arrêter la capture | ||||||
Opérateurs logiques
Opérateur | Description | Exemple | ||||||||
et ou && | ET logique | Toutes les conditions doivent correspondre | ||||||||
ou ou || | OU logique | Soit toutes, soit une des conditions doivent correspondre | ||||||||
xor ou ^^ | XOR logique | alternance exclusive – Une seule des deux conditions ne doit pas correspondre aux deux | ||||||||
pas ou ! | NON (Négation) | Pas égal à | ||||||||
[n] […] | Opérateur de sous-chaîne | Filtrer un mot ou un texte spécifique | ||||||||
Colonnes par défaut dans une sortie de capture de paquets
Non. | Numéro de trame depuis le début de la capture du paquet | ||||||
Temps | Secondes à partir de la première image | ||||||
Source (src) | Adresse source, généralement une adresse IPv4, IPv6 ou Ethernet | ||||||
Destination (heure d'été) | Adresse de destination | ||||||
Protocole | Protocole utilisé dans la trame Ethernet, le paquet IP ou le segment TCP | ||||||
Longueur | Longueur de la trame en octets | ||||||
Raccourcis clavier
Accélérateur | Description | Accélérateur | Description | ||||||||||||||||
Tabulation ou Maj+Tabulation | Déplacez-vous entre les éléments de l'écran, par ex. des barres d'outils à la liste des paquets en passant par les détails du paquet. | Tout+→ou Option+→ | Passer au paquet suivant dans l'historique de sélection. | ||||||||||||||||
↓ | Passer au paquet ou à l'élément de détail suivant. | → | Dans le détail du paquet, ouvre l'élément d'arborescence sélectionné. | ||||||||||||||||
↑ | Passer au paquet ou à l'élément de détail précédent. | Maj+→ | Dans le détail du paquet, ouvre l'élément d'arborescence sélectionné et tous ses sous-arbres. | ||||||||||||||||
Ctrl+↓ou F8 | Passer au paquet suivant, même si la liste des paquets n'est pas ciblée. | Ctrl+→ | Dans le détail du paquet, ouvre tous les éléments de l'arborescence. | ||||||||||||||||
Ctrl+↑ou F7 | Passer au paquet précédent, même si la liste des paquets n'est pas ciblée. | Ctrl+← | Dans le détail du paquet, ferme tous les éléments de l'arborescence. | ||||||||||||||||
Ctrl+. | Passer au paquet suivant de la conversation (TCP, UDP ou IP). | Retour arrière | Dans les détails du paquet, passe au nœud parent. | ||||||||||||||||
Ctrl+, | Passer au paquet précédent de la conversation (TCP, UDP ou IP). | Retour ou Entrée | Dans les détails du paquet, bascule l'élément d'arborescence sélectionné. | ||||||||||||||||
Commandes de filtrage courantes
Filtrer Wireshark par IP | adresse IP == 10.10.50.1 |
Filtrer par IP de destination | ip.dest == 10.10.50.1 |
Filtrer par IP source | ip.src == 10.10.50.1 |
Filtrer par plage IP | ip.addr >= 10.10.50.1 et ip.addr<= 10.10.50.100 |
Filtrer par plusieurs IPS | ip.addr == 10.10.50.1 et ip.addr == 10.10.50.100 |
Filtrer/exclure l'adresse IP | !(ip.addr == 10.10.50.1) |
Filtrer le sous-réseau IP | adresse IP == 10.10.50.1/24 |
Filtrer par plusieurs sous-réseaux IP spécifiés | ip.addr == 10.10.50.1/24 et ip.addr == 10.10.51.1/24 |
Filtrer par protocole |
|
Filtrer par port (TCP) | tcp.port == 25 |
Filtrer par port de destination (TCP) | tcp.dstport == 23 |
Filtrer par adresse IP et port | ip.addr == 10.10.50.1 et Tcp.port == 25 |
Filtrer par URL | http.host == « nom d'hôte » |
Filtrer par horodatage | frame.time >= « 02 juin 2019 18:04:00 » |
Filtrer l'indicateur SYN | tcp.flags.syn == 1 tcp.flags.syn == 1 et tcp.flags.ack == 0 |
Filtre de balise Wireshark | wlan.fc.type_subtype = 0x08 |
Filtre de diffusion Wireshark | eth.dst == ff:ff:ff:ff:ff:ff |
Filtre WiresharkMulticast | (eth.dst[0] & 1) |
Filtre de nom d'hôte | ip.host = nom d'hôte |
Filtre d'adresse MAC | eth.addr == 00:70:f4:23:18:c4 |
Filtre de drapeau RST | tcp.flags.reset == 1 |
Éléments principaux de la barre d'outils
Icône de la barre d'outils | Élément de la barre d'outils | Élément du menu | Description |
 | Commencer | Capturer → Démarrer | Utilise les mêmes options de capture de paquets que la session précédente, ou utilise les valeurs par défaut si aucune option n'a été définie |
 | Arrêt | Capturer → Arrêter | Arrête la capture actuellement active |
 | Redémarrage | Capturer → Redémarrer | Redémarre la session de capture active |
 | Possibilités… | Capturer → Options… | Ouvre la boîte de dialogue « Options de capture » |
 | Ouvrir… | Fichier → Ouvrir… | Ouvre la boîte de dialogue « Fichier ouvert » pour charger une capture à visualiser |
 | Enregistrer sous… | Fichier → Enregistrer sous… | Enregistrer le fichier de capture actuel |
 | Fermer | Fichier → Fermer | Fermer le fichier de capture actuel |
 | Recharger | Afficher → Recharger | Recharge le fichier de capture actuel |
 | Rechercher un paquet… | Modifier → Rechercher un paquet… | Rechercher un paquet en fonction de différents critères |
 | Retourner | Aller → Revenir en arrière | Revenir dans l'historique des paquets |
 | Aller de l'avant | Aller → Aller de l'avant | Avancer dans l'historique des paquets |
 | Accédez au paquet… | Aller → Aller au paquet… | Aller au paquet spécifique |
 | Aller au premier paquet | Aller → Premier paquet | Aller au premier paquet du fichier de capture |
 | Aller au dernier paquet | Aller → Dernier paquet | Aller au dernier paquet du fichier de capture |
 | Défilement automatique dans Live Capture | Affichage → Défilement automatique dans Live Capture | Liste de paquets à défilement automatique pendant la capture en direct |
 | Coloriser | Affichage → Coloriser | Coloriser la liste des paquets (ou pas) |
 | Agrandir | Affichage → Zoom avant | Zoomez sur les données du paquet (augmentez la taille de la police) |
 | Dézoomer | Affichage → Zoom arrière | Effectuer un zoom arrière sur les données du paquet (diminuer la taille de la police) |
 | Taille normale | Affichage → Taille normale | Remettre le niveau de zoom à 100 % |
 | Redimensionner les colonnes | Affichage → Redimensionner les colonnes | Redimensionner les colonnes pour que le contenu s'adapte à la largeur |
Plus de tutoriels Wireshark :
- Aide-mémoire Wireshark
- Comment décrypter SSL avec Wireshark
- Utiliser Wireshark pour obtenir l'adresse IP d'un hôte inconnu
- Exécuter une capture à distance avec Wireshark et tcpdump
- Erreur Wireshark « Aucune interface trouvée » expliquée
- Identifiez le matériel avec la recherche OUI dans Wireshark
- Meilleures alternatives à Wireshark
FAQ Wireshark
Quels sont les filtres dans Wireshark ?
Les filtres Wireshark réduisent le nombre de paquets que vous voyez dans la visionneuse de données Wireshark. Cette fonction vous permet d'accéder aux paquets pertinents pour votre recherche. Il existe deux types de filtres : les filtres de capture et les filtres d'affichage. L'application d'un filtre au processus de capture de paquets réduit le volume de trafic lu par Wireshark.
Comment capturer un filtre dans Wireshark ?
Vous pouvez réduire la quantité de paquets copiés par Wireshark avec un filtre de capture. Recherchez sur l'écran d'accueil la section intitulée Capturer . La première ligne de cette section est intitulée en utilisant ce filtre : Le fichier qui suit cette invite vous permet de saisir une instruction de filtre. Sélectionnez une interface à partir de laquelle capturer, puis cliquez sur le symbole de l'aileron de requin dans la barre de menu pour démarrer une capture.
Si vous ne voyez pas la page d'accueil, cliquez sur Capturer dans la barre de menu, puis sélectionnez Possibilités à partir de ce menu déroulant. Vous verrez une liste des interfaces disponibles et le champ de filtre de capture en bas de l'écran. Sélectionnez une interface en cliquant dessus, saisissez le texte du filtre, puis cliquez sur l'icône Commencer bouton.
Comment Wireshark capture-t-il les paquets ?
Wireshark accède à un programme distinct pour collecter les paquets du fil du réseau via la carte réseau de l'ordinateur qui l'héberge. Ce programme est basé sur le protocole pcap, implémenté dans libpcap pour Unix, Linux et macOS, et par WinPCap sous Windows. Le programme d'installation de Wireshark installera également le programme pcap nécessaire.
