DomoPad

wireshark

wireshark

Filtre de capture

Protocole:

Valeurs: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. Si aucun protocole n’est sélectionné, tous les protocoles sont utilisés.

Direction:

Valeurs: src, dst, src and dst, src or dst. Si aucune source ou destination n’est spécifiée, les mots-clefs “src or dst” sont appliqués.

Par exemple, “host 10.2.2.2” est équivalent à “src or dst host 10.2.2.2”.

Hôte(s):

Valeurs: net, port, host, portrange. Si aucun hôte n’est spécifié, le mot clef “host” est utilisé.

Par exemple, “src 10.1.1.1” est équivalent à “src host 10.1.1.1”.

Opérations logiques:

Valeurs: not, and, or. Négation (“not”) a la plus haute priorité. Alternance (“or”) et concaténation (“and”) ont des priorités équivalentes et s’associent de gauche à droite.

“not tcp port 3128 and tcp port 23” est équivalent à “(not tcp port 3128) and tcp port 23”

 

Filtre d’affichage

Le filtre d’affichage est utilisé pour rechercher à l’intérieur des données récoltées avec un filtre de capture. Ses capacités de recherche sont plus étendues que celles du filtre de capture et il n’est pas nécessaire de redémarrer la capture lors de modifications du filtre.

Protocole

Un grand nombre de protocoles compris entre les couches deux et sept du modèle OSI est disponible. Ils peuvent être consultés quand vous cliquez sur le bouton “Expression …” dans la fenêtre principal de Wireshark.

snmp || dns || icmp Affiche les trafics SNMP ou DNS ou ICMP.

ip.addr == 10.1.1.1 Affiche les paquets avec une adresse source ou destination de 10.1.1.1.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 Affiche les paquets avec une adresse IP source différente de 10.1.2.3 ou avec une adresse IP destination différente de 10.4.5.6.

tcp.port == 80 Affiche les paquets dont le port TCP source ou destination est égal à 80.

tcp.dstport == 80 Affiche Les paquets avec un port TCP de destination 80.

tcp.flags Affiche les paquets contenant un drapeau TCP. (TCP flag)

tcp.flags.syn == 0x02 Affiche les paquets avec un drapeau TCP SYN.

Filtrage des réponses d’erreur http

filtre de capture:

tcp : on capture le protocol tcp

tcp port 80 or tcp port 443 : si on veut capturer uniquement les port 80 et 443

filtres d’affichages:

http.response.code!=200 afficher l’ensemble des réponses d’erreur

http.response.code==404 afficher les réponses d’erreur d’un code spécifique (404 par exemple)

 

 

 

Analyse source erreur:

Connaitre le pourcentage de réponse d’erreur

http.response : filtre d’affichage des réponses http: Lecture du pourcentage de réponse http en bas la fenêtre wireshark: displayed:x(y%)

http.respones.code!=200 Faire de même pour les réponses d’erreur avec le filtre:

calculer le ratio

Analyse conversation entre deux appareils

Il peut être utile lorsqu’une requête échoue de voir quels sont les autres requêtes faites entre les appareils. dans ce cas retenez le numéro de la frame. filtrez les adresses ip des deux appareils

ip.addr == X and ip.addr == Y and http

et replacez vous par rapport au numéro de frame précédent

Graphiques

le tracer de graphique permet de visualiser en direct le débit pour un filtre d’affichage

  1. aller sur l’onglet Statistiques
  2. puis Graphique I/O
  3. régler l’axe des Y sur bits/s ou bytes/s
  4. régler le filtre d’affichage

Expression régulière

les appareils perso de domopad sont souvent mappé entre 10 et 25. pour éviter d’avoir les messages correspondant à ces appareils on peut utiliser les expression régulière perl avec l’opérateur “matches”. l’opérateur match ne fonctionne que sur les protocols et les champs des protocols. Donc ne fonctionne pas sur ip.addr ni ip.src mais fonctionne sur ip.dst_host et ip.src_host

not ip.dst_host matches “192.168.1.(1[0-9]|2[0-5])” and not ip.src_host matches “192.168.1.(1[0-9]|2[0-5])” permet de ne pas afficher les messages provenant ou en direction des adresses 192.168.1.10 à 192.168.1.25

Profil de configuration

créer un filtre d’affichage raccourci :

on peut créer des filtres d’affichage raccourci à droite du filtre d’affichage avec le bouton +

accéder au dossier des profils de configuration:

clic droit en bas à droite sur profils

clic sur manage profils

l’adresse en bas de la nouvelle fenêtre indique le dossier des profils

exporter/importer un profil de configuration:

copier/coller simplement le dossier du profil correspondant dans le dossier des profils de configuration

Statistiques

DCE-RPC

Multicast