La personnalisation va permettre d’avoir ses propres repères et raccourci dans l’interface pour faciliter l’analyse des paquets par la suite. L’interface principale de Wireshark se découpe en 4 parties :

  • La partie 1 comprends les différents menus, les boutons ainsi que la barre des filtres d’affichage
  • La partie 2 contient la liste des paquets capturés, nous verrons ultérieurement comment personnaliser les colonnes
  • La partie 3 contient le détail du paquet sélectionné dans la partie 2.
  • La 4ᵉ partie contient la vue Hexadécimale et version texte du paquet. Cette partie contient également la barre d’état tout en bas de l’interface, on y retrouve des informations comme le nom du profil utilisé actuellement, le nombre de paquets total de la capture et le nombre de paquets affichés, et d’autres informations sur le fichier de capture.

1 Les profils

Dans Wireshark, le profil permet de personnaliser de nombreux paramètres et cela permet de pouvoir adapter rapidement la configuration au type de capture que l’on souhaite faire ( WLAN, Ethernet, Applicative, …). Le profil permet de personnaliser :

  • Les préférences
  • Les filtres de captures
  • Les filtres d’affichages
  • Les règles de couleurs
  • Les protocoles désactivés
  • Les macros
  • Certains paramètres d’affichage

Par défaut, les profils sont présents dans le répertoire :

C:\Users\<username>\AppData\Roaming\Wireshark\profiles\<nom du profil>

Le nom du répertoire correspond ensuite au nom du profil. Vous pouvez donc importer des profils en les ajoutant à ce répertoire.

Pour accéder à l’interface de gestion des profils, il faut faire un clic droit en bas à droite sur : “Profile : <Nom du profil actif>”, puis sélectionner “Manage profiles”.

Vous pouvez ici créer un nouveau profil en cliquant sur le ( + ) , en supprimer un en cliquant sur le ( – ) ou en copier un ().

2 Les colonnes

Dans l’interface de visualisation des paquets, il est possible de sélectionner les informations que l’on souhaite afficher dans les colonnes et la façon dont elles sont affichées. Cela est très pratique pour avoir rapidement les informations sous les yeux et faciliter la lecture.

Pour choisir les colonnes que l’on souhaite afficher, il y a deux possibilités :

  • La première via le menu Edit > Preferences :

Vous pouvez ajouter des colonnes avec le ( + ), en enlever avec le ( – ), vous pouvez également modifier la manière dont les informations sont affichées en cliquant sur le champ Type, par exemple, on peut modifier le mode d’affichage de l’heure. Pour des colonnes personnalisées, il faut ensuite renseigner le champ field avec le champ que vous voulez voir apparaitre.

  • La seconde méthode consiste à sélectionner dans le détail d’un paquet le champ que vous souhaitez voir apparaitre en colonne en faisant clic droit puis “Apply as column”

Vous pouvez pareillement supprimer des colonnes en faisant un clic droit dessus puis “Remove this column”.

Une fois que vous avez sélectionné toutes vos colonnes, vous pouvez utiliser l’option “Auto-Size Columns” pour ajuster automatiquement la largeur de chaque colonne.

Voici quelques exemples de colonnes et les champs associés :

NomChamp
Numéro de trameframe.number
Receiver Adresswlan.ra
Transmitter Adresswlan.ta
Destination Adress​wlan.da
Source Adresswlan.sa
SSIDwlan.ssid
PHYwlan_radio.phy
Data rateswlan_radio.data_rate
Channelwlan_radio.channel

Vous pouvez retrouver l’intégralité des champs disponible ici :

https://www.wireshark.org/docs/dfref/w/wlan_radio.html

et https://www.wireshark.org/docs/dfref/w/wlan.html

3 La colorisation

La colorisation permet d’identifier rapidement les paquets dans la liste suivant certains critères définis à l’avance, cela peut être par type de trame, si la trame a été retransmise ou pas, par canal, par puissance de signal, … Il est possible de modifier le fond ainsi que la couleur d’écriture. Il existe deux méthodes pour créer de filtres de coloration :

  • La première consiste à ouvrir le menu View > Colorizing rules puis de créer, d’éditer les règles de colorisations comme vous le souhaitez, vous pouvez ensuite cocher ou décocher une règle pour l’activer ou la désactiver. Si un paquet correspond à plusieurs filtres, c’est le premier dans la liste qui est pris en compte, l’ordre est donc important et peut être modifier avec un glisser/ déposer.
  • La seconde méthode consiste à sélectionner dans le détail du paquet le champ que l’on souhaite appliquer comme filtre, à faire un clic droit dessus et lui appliquer une règle de colorisation. Cela l’appliquera ensuite à tous les paquets correspondant au même filtre sur le paquet sélectionné. Là encore, l’ordre d’application des règles est important, car c’est le premier qui correspond qui est appliqué.

2.4 Le nommage des équipements

Afin de faciliter la lecture des paquets, il est également possible de remplacer l’adresse MAC d’un équipement, cela permet de le retrouver ensuite de façon plus lisible. Pour cela il suffit de modifier le fichier “ether” situé dans le répertoire : C:\Users\<Nom d’utilisateur>\AppData\Roaming\Wireshark\Profiles\<Nom du profil>

Dans ce fichier, il faut mettre dans un premier temps l’adresse MAC (au format XX:XX:XX:XX:XX:XX) suivi du nom de l’équipement, séparé par un espace. Voici un exemple de fichier :

02:12:C7:E3:FD:38 XcoverPro
EA:83:E5:38:09:84 Xcover5
E6:CA:41:00:4B:DF Zebra
00:DC:B2:2B:02:10 AP1
00:DC:B2:2B:27:50 AP2
00:DC:B2:2B:3F:70 AP3

Une fois le fichier enregistré, il faut relancer Wireshark et voici le résultat :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *