{"id":39,"date":"2022-07-30T08:00:45","date_gmt":"2022-07-30T06:00:45","guid":{"rendered":"http:\/\/wifiromeo.fr\/?p=39"},"modified":"2022-08-16T15:15:16","modified_gmt":"2022-08-16T13:15:16","slug":"comment-wireshark-peut-faciliter-lanalyse-dincidents-wi-fi-partie-1-capture-de-paquets-sous-windows","status":"publish","type":"post","link":"https:\/\/wifiromeo.fr\/?p=39","title":{"rendered":"Comment Wireshark peut faciliter l&rsquo;analyse d&rsquo;incidents Wi-Fi (Partie 1 : Capture de paquets sous Windows)"},"content":{"rendered":"\n<p>L\u2019analyse des trames \u00e0 l\u2019aide de Wireshark ou d\u2019un autre analyseur de trames est indispensable dans la r\u00e9solution d\u2019incidents r\u00e9seau. Cela permet d\u2019obtenir l\u2019ensemble des informations \u00e9chang\u00e9es et ainsi comprendre pr\u00e9cis\u00e9ment ce qu\u2019il se passe. Mai cela devient vite un vrai casse-t\u00eate si nous ne sommes pas bien organis\u00e9s et que nous ne recherchons pas les bons \u00e9l\u00e9ments. \u00c0 travers ce livre blanc, nous allons essayer de vous montrer quelques astuces pour faciliter la r\u00e9solution d\u2019incidents Wi-Fi \u00e0 l\u2019aide de Wireshark sous Windows.<\/p>\n\n\n\n<p>Pour cela, nous allons commencer par voir diff\u00e9rents moyens de capture qui existe, nous allons ensuite \u00e9tudier l\u2019interface de Wireshark et voir comment sa personnalisation nous permet de visualiser plus lisiblement les informations que l\u2019on souhaite et dans un troisi\u00e8me temps, nous verrons comment les outils int\u00e9gr\u00e9s \u00e0 Wireshark nous permettent d\u2019analyser plus en d\u00e9tails les trames captur\u00e9es et nous permettent d\u2019identifier des dysfonctionnements.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1 Capture avec une carte r\u00e9seau<\/h2>\n\n\n\n<p>Pr\u00e9-requis<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Carte wifi en mode monitor (pour voir la liste des cartes wifi compatibles : <a href=\"https:\/\/secwiki.org\/w\/Npcap\/WiFi_adapters\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/secwiki.org\/w\/Npcap\/WiFi_adapters<\/a> )<\/li><li>Npcap install\u00e9 avec la fonctionnalit\u00e9 \u201c Support raw 802.11 traffic \u201d<\/li><li>Wireshark en version sup\u00e9rieure \u00e0 3.0<\/li><\/ul>\n\n\n\n<p>La capture de trame 802.11 \u00e0 l\u2019aide de la carte wifi int\u00e9gr\u00e9 a toujours \u00e9t\u00e9 probl\u00e9matique avec Windows. En effet, il n\u2019est que tr\u00e8s rarement possible d\u2019activer le mode Monitor qui permet de capturer la couche radio. Par d\u00e9faut, c&rsquo;est le mode Managed qui est activ\u00e9 et lui permet de r\u00e9cup\u00e9rer les paquets \u00e0 partir de la couche 3. La librairie Npcap permet de r\u00e9soudre ce probl\u00e8me \u00e0 condition que la carte wifi soit compatible (cf Pr\u00e9-requis).<\/p>\n\n\n\n<p>Vous pouvez \u00e9galement connaitre les modes support\u00e9s par votre carte r\u00e9seau avec la commande suivante (Wi-Fi est le nom de la carte r\u00e9seau) :<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">C:\\Windows\\System32\\Npcap&gt;WlanHelper.exe \"Wi-Fi\" modes<\/pre>\n\n\n\n<p><strong>Attention : Avant de lancer la proc\u00e9dure, il est important de s\u2019assurer que Winpcap n\u2019est pas install\u00e9 sur le poste.<\/strong><\/p>\n\n\n\n<p>La premi\u00e8re \u00e9tape consiste \u00e0 activer le mode Monitor sur la carte r\u00e9seau :<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">C:\\Windows\\System32\\Npcap&gt;WlanHelper.exe \"Wi-Fi\" mode monitor<\/pre>\n\n\n\n<p>Pour connaitre le mode utilis\u00e9 actuellement par la carte r\u00e9seau :<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">C:\\Windows\\System32\\Npcap&gt;WlanHelper.exe \"Wi-Fi\" mode<\/pre>\n\n\n\n<p>Il faut ensuite s\u00e9lectionner le canal que l\u2019on souhaite \u00e9couter (par exemple pour le canal 1) :<\/p>\n\n\n\n<pre class=\"wp-block-preformatted\">C:\\Windows\\System32\\Npcap&gt;WlanHelper.exe \"Wi-Fi\" channel 1<\/pre>\n\n\n\n<h2 class=\"wp-block-heading\">2 Capture avec un \u201cmodule externe\u201d<\/h2>\n\n\n\n<p>Nous n\u2019avons pas toujours la possibilit\u00e9 de nous d\u00e9placer pour pouvoir r\u00e9aliser les captures que nous souhaitons, ou bien nous souhaitons utiliser un \u00e9quipement externe pour r\u00e9aliser la capture. Je vous pr\u00e9sente ici trois possibilit\u00e9s qui existent, il y en a d\u2019autres, par exemple la possibilit\u00e9 d\u2019utiliser une borne en mode \u201c\u00e9coute\u201d (attention, car l\u2019activation du mode \u00e9coute d\u00e9sactive g\u00e9n\u00e9ralement la borne).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Wlan pi<\/h3>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"alignright\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_227e735fba5a4982a48384e74ceebd26~mv2.png\/v1\/fit\/w_239,h_160,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><figcaption>Source de l\u2019image : https:\/\/www.badgerwifi.co.uk\/store\/p\/wlanpi<\/figcaption><\/figure>\n<\/div>\n\n\n<p>Pour capturer des trames avec le Wlan Pi, nous allons utiliser le script WLANPiShark2 : <a rel=\"noreferrer noopener\" href=\"https:\/\/github.com\/WLAN-Pi\/WLANPiShark2\" target=\"_blank\">https:\/\/github.com\/WLAN-Pi\/WLANPiShark2<\/a> . Il va nous permettre depuis un ordinateur Windows de pouvoir r\u00e9cup\u00e9rer les paquets captur\u00e9s.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Voici un sch\u00e9ma explicatif fourni par l\u2019auteur :<\/p>\n\n\n\n<figure class=\"wp-block-image alignfull\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_06abb6c2efd4430f9bf260821218941a~mv2.png\/v1\/fit\/w_300,h_300,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n\n\n\n<p>L\u2019utilisation est ensuite tr\u00e8s simple, car le script WLANPiShark2 est d\u00e9j\u00e0 int\u00e9gr\u00e9 dans la distribution du Wlan Pi. Il suffit donc de modifier le script WLANPiShark.bat avec les informations que vous souhaitez et ensuite de l\u2019ex\u00e9cuter avec les diff\u00e9rents param\u00e8tres pour que cela fonctionne.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_81dbdf45a2dc443c8e38ea3f24f84144~mv2.png\/v1\/fit\/w_300,h_300,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n\n\n\n<p>Vous pouvez retrouver tous les d\u00e9tails sur l\u2019utilisation du script sur le github du projet : <a href=\"https:\/\/github.com\/wifinigel\/WLANPiShark\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/github.com\/wifinigel\/WLANPiShark<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Ekahau Sidekick<\/h3>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"alignright\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_0ef65a840ed64063aa4e26fa5e2e5172~mv2.png\/v1\/fit\/w_197,h_179,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n<\/div>\n\n\n<p>Le module Sidekick d\u2019Ekahau permet \u00e9galement de r\u00e9aliser des captures de paquets, pour cela il suffit de le connecter \u00e0 l\u2019ordinateur, de lancer le logiciel <a href=\"https:\/\/www.ekahau.com\/products\/ekahau-connect\/capture\/\" target=\"_blank\" rel=\"noreferrer noopener\">Ekahau Capture<\/a> (un compte Ekahau Connect est n\u00e9cessaire) puis de s\u00e9lectionner les canaux qui nous int\u00e9ressent. Dans les options, nous avons la possibilit\u00e9 de choisir l\u2019emplacement ou le fichier sera enregistr\u00e9 ainsi que le \u201cdwell time\u201d (temps d\u2019\u00e9coute par canal). Une fois tout cela s\u00e9lectionner, nous pouvons lancer la capture.<\/p>\n\n\n\n<p>IMAGE EKAHAU CAPTURE<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><\/h3>\n\n\n\n<h3 class=\"wp-block-heading\">Via un autre ordinateur<\/h3>\n\n\n\n<p>Windows permet gr\u00e2ce \u00e0 la fonctionnalit\u00e9 \u201cRemote Packet Capture Protocol\u201d de pouvoir recevoir dans wireshark des paquets captur\u00e9s par un autre ordinateur. Pour cela, il faut aller sur la machine cliente dans la gestion des services et activer le service : Remote Packet Capture Protocol v.0 (experimental). Vous pouvez par ailleurs configurer le service en modifiant le port de destination ou en rajoutant une authentification.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_c88e7f74fcd843c097b3809962a87682~mv2.png\/v1\/fit\/w_300,h_300,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n\n\n\n<p>Ensuite, sur la machine serveur, vous allez dans les options de captures, puis dans \u201cManage Interfaces\u201d pour pouvoir ajouter des \u201cremotes interfaces\u201d. Vous pourrez ensuite ajouter l\u2019adresse IP de la machine cliente et le port (par d\u00e9faut 2002).<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_b025922be23b442abd3b8755896b97a6~mv2.png\/v1\/fit\/w_300,h_300,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n\n\n\n<p>Ensuite, vous verrez les interfaces appara\u00eetre dans la liste des interfaces disponibles sous la forme suivante :<\/p>\n\n\n\n<p><em>rpcap:\/\/&lt;Adresse IP client&gt;:2002\/&lt;ID de l\u2019interface&gt;<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">3 Lancement de la capture<\/h2>\n\n\n\n<p>Lors des analyses concernant des incidents Wi-fi il est g\u00e9n\u00e9ralement d\u00e9conseill\u00e9 d\u2019utiliser les filtres de captures, cela pourrait masquer diff\u00e9rents \u00e9changes qui ont lieu entre les diff\u00e9rents \u00e9quipements. Il est recommand\u00e9 de capturer l\u2019ensemble du trafic et ensuite d\u2019appliquer des filtres de visualisation. Si le trafic est trop important, il est possible de le d\u00e9couper en plusieurs morceaux en fonction de la taille, de la dur\u00e9e ou du nombre de paquets.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/static.wixstatic.com\/media\/68bc5d_5133356b75cd472dbcef668ff9827e9a~mv2.png\/v1\/fit\/w_300,h_300,al_c,q_5,enc_auto\/file.png\" alt=\"\"\/><\/figure>\n\n\n\n<p>En revanche, si le volume de donn\u00e9es reste trop important ou bien que vous savez pr\u00e9cis\u00e9ment ce que vous cherchez, il peut \u00eatre int\u00e9ressant de mettre en place des filtres de capture pour faciliter l\u2019analyse.<\/p>\n\n\n\n<p>Voici quelques exemples de filtres qui peuvent \u00eatre utilis\u00e9 :<\/p>\n\n\n\n<p><em>wlan addr1 00:01:02:03:04:05<\/em> : Capture de paquet o\u00f9 l\u2019adresse MAC 1 est 00:01:02:03:04:05 (addr2 pour l\u2019adresse MAC 2, \u2026)<\/p>\n\n\n\n<p><em>wlan type mgt<\/em> : Pour ne capturer que les trames de types management<\/p>\n\n\n\n<p><em>no wlan type data<\/em> : Pour ne pas capturer les trames de donn\u00e9es<\/p>\n\n\n\n<p><em>wlan type mgt subtype beacon<\/em> : Pour ne capturer que les beacons<\/p>\n\n\n\n<p><em>wlan type ctl and (subtype rts or subtype cts) <\/em>: Pour ne capturer que les trames Clear-To-Send et Request-To-Send<\/p>\n\n\n\n<p>Pour retrouver l\u2019ensemble des filtres :<\/p>\n\n\n\n<p><a href=\"https:\/\/www.wireshark.org\/docs\/man-pages\/pcap-filter.html\">https:\/\/www.wireshark.org\/docs\/man-pages\/pcap-filter.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L\u2019analyse des trames \u00e0 l\u2019aide de Wireshark ou d\u2019un autre analyseur de trames est indispensable dans la r\u00e9solution d\u2019incidents r\u00e9seau. Cela permet d\u2019obtenir l\u2019ensemble des informations \u00e9chang\u00e9es et ainsi comprendre pr\u00e9cis\u00e9ment ce qu\u2019il se passe. Mai cela devient vite un vrai casse-t\u00eate si nous ne sommes pas bien organis\u00e9s et que nous ne recherchons pas [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8],"tags":[46,36,44,40],"class_list":["post-39","post","type-post","status-publish","format-standard","hentry","category-non-classe-fr","tag-capture","tag-cwap","tag-windows","tag-wireshark"],"_links":{"self":[{"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/posts\/39","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=39"}],"version-history":[{"count":1,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/posts\/39\/revisions"}],"predecessor-version":[{"id":40,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=\/wp\/v2\/posts\/39\/revisions\/40"}],"wp:attachment":[{"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=39"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=39"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wifiromeo.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=39"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}