Une nouvelle version mineure (1.12.1) est disponible depuis quelques jours, elle corrige une trentaine de bugs/anomalies découverts suite à la version majeure 1.12 de cet été !
Avec un peu de retard, une liste des nouveautés/changements arrivés avec cette version 1.12 et un point sur le futur de Wireshark…
Un rappel pour commencer : Wireshark est l'analyseur de protocole de réseau le plus populaire du monde ! Et de plus, il est multi-plateforme (avec notamment GNU/Linux, *BSD, Mac OS X et Windows).
Protocoles
Environ une centaine de nouveaux protocoles ont été ajoutés à la version 1.12 dont QUIC, SPDY, OpenFlow, CARP… ou encore HTTP2.
Concernant HTTP2, le protocole est maintenant devenu binaire donc plus difficile à analyser directement et il faut donc des outils pour l’analyser et le débuguer. De plus, les en-têtes sont compressées via le protocole HPACK, cela permet d’optimiser la bande passante. Wireshark utilise la bibliothèque nghttp2 pour décompresser les en-têtes.
Wireshark 1.12 prend en charge la version 13 du draft HTTP2, il est sorti depuis une version 14, mais elle est en partie incompatible avec l’ancien draft. La version 14 est déjà prise en charge dans la version de dev de Wireshark.
Il y a eu aussi un grand nombre d’améliorations dans les dissectors existants :
- WiFI : Gestion du 802.11ad, VHT (802.11ac) ;
- USB : Gestion du MAUSB ;
- NTP : Gestion de monlist ;
- …
Certains ont été en partie réécrits : BGP, DNS (prise en charge normalement complète..), NLB, OSPF, Skinny, LLDP…
La liste des changements est trop longue… (Plus de 6000 commits depuis la version précédente majeure…).
Interface utilisateur
Concernant les nouvelles fonctionnalités graphiques, une des principales fonctionnalités est « Export PDU ».
Cela permet de réaliser un export uniquement du contenu (PDU) d‘un paquet avec un entête minimal (adresse IP src/dst, protocole). On l’utilise dans le cas de protocole encapsulé, les uns dans les autres ou encore pour diffuser une capture de flux déchiffré. Pour cela, on réalise la capture et on déchiffre avec la clé privée, puis on réalise un export PDU, on récupère uniquement le trafic déchiffré. Pas besoin de diffuser la clé privée avec la capture.
Wireshark Qt :
En travaux depuis deux ans et annoncé officiellement en octobre dernier, Wireshark avec le Framework Qt continue son chemin ! Un certain nombre de fenêtres a déjà été porté (About, Capture Interfaces, Conversation, IO, Graph Follow, Export PDU…).
Certaines de ces fenêtres (Follow, Summary) ont été réalisées par un étudiant français lors du GSoC’13 et incluses dans la branche master.
Il a été aussi mis en place une traduction de l’interface graphique, une première traduction française est déjà incluse (mais elle nécessite une mise à jour et relecture…).
L’installateur Windows inclut une version « Preview » de cette nouvelle interface et pour les utilisateurs de Linux Debian, une version qt est disponible dans unstable grâce à notre nouveau Debian Developer.
Workflow
Le début d’année a été marqué par de grands changements dans le workflow de développement de Wireshark. En effet, nous sommes passés de subversion (svn) à Gerrit/Git après une période de transition compliquée pour certains… Les retours sont très positifs ! Surtout grâce à Gerrit qui nous a permis d’avoir un outil pour la relecture de code.
Concernant git, il y a un miroir disponible sur GitHub mais les pull requests ne sont pas acceptées (il faut passer obligatoirement par Gerrit).
En plus de nos différentes branches de build automatisé (via buildbot), il a aussi été mis en place un buildbot dédié à Gerrit, qui nous permet de réaliser un certain nombre de tests automatisés avant l’inclusion dans la branche master. Cela a permis de gagner en stabilité dans la branche master (elle est de plus en plus rarement cassée). Afin de sécuriser cette plateforme de test, il a aussi été utilisé des images AWS EC2 (Ubuntu & Windows) qui sont réinitialisées à chaque build.
Feuille de route
Il est prévu que la prochaine version de Wireshark soit la version 2.0 avec par défaut l’interface Qt !
Il y aura aussi de nouveaux protocoles analysés, déjà une dizaine de nouveaux protocoles pris en charge depuis le début de l’été et, bien sûr, des améliorations sur les protocoles déjà pris en charge.
Sharkfest
Une dernière information concernant le Sharkfest, la conférence développeur et utilisateur de Wireshark, qui cette année elle avait lieu sur le beau campus de la Dominican University of California, au nord de San Francisco. Les vidéos et présentations sont disponibles sur le site officiel.
Je vous recommande les vidéos de Vinton Cerf (Co-inventeur de TCP/IP), Gerald Combs (auteur originel de Wireshark) et Laura Chapell sur le futur de Wireshark (à l’intérieur de Wireshark 2.0).
Les premières informations concernant le Sharkfest’15 sont disponibles depuis quelques jours, il aura lieu au Musée de l’informatique (CHM) à Mountain view du 22 au 25 juin.
Il y a aussi des bruits concernant une édition d’une Sharkfest en Europe pour le début de l’année prochaine…
# Un bon tutoriel ?
Posté par libresurf (site web personnel, Mastodon) . Évalué à 5.
Bonjour,
quelqu'un aurait-il un bon tutoriel à conseiller à une personne qui n'a jamais utilisé Wireshark ?
[^] # Re: Un bon tutoriel ?
Posté par DerekSagan . Évalué à 7.
Bah en même temps c'est vraiment très intuitif comme logiciel: tu le lances, tu lances une capture, et la tu vois tous les paquets et quand tu cliques sur un paquet tu vois les couches de protocoles qu'il contient les unes au-dessus des autres. On peut pas vraiment faire de tuto sur ça :-)
Éventuellement des tutos sur les fonctionnalités avancées: l'analyse des fenêtres tcp, les expressions de filtre, etc., mais bon, c'est pas pour une personne qui n'a jamais utilisé Wireshark…
[^] # Re: Un bon tutoriel ?
Posté par pamputt . Évalué à 2.
Ce que tu décris (capturer du trafic) est intuitif mais le tuto décrirait plutôt l'étape d'après. Comment on analyse les paquets reçus. Par exemple, comment on fait pour comprendre des paquets HTTP diffusé en clair. Par exemple, j'avais voulu tester chez moi la récupération de mots de passe et/ou de cookies qui se baladent en clair. Et ça on ne peut pas dire que ça soit super intuitif.
[^] # Re: Un bon tutoriel ?
Posté par Maxime (site web personnel) . Évalué à 8.
Bouton droit, « Follow tcp stream ».
[^] # Re: Un bon tutoriel ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 8.
[^] # Re: Un bon tutoriel ?
Posté par kowalsky . Évalué à 4.
Tu fais une capture de flux, click droit sur un paquet au pif > follow TCP stream et voila.
Si tu ne trouve pas ce qui t’intéresse, change le numéro de flux dans la barre de filtre.
En faite, tu apprend bien à utiliser wireshark quand tu sais ce que tu veux faire. Mais si tu n'a pas de but, tu va pas aller bien loin…
[^] # Re: Un bon tutoriel ?
Posté par 2x2 . Évalué à 3.
Bonjour,
Il ne s'agit pas d'un tutoriel complet mais si ni l'anglais ni youtube ne te rebute tu peux suivre les vidéos de Laura Chappell.
Il ne s'agit pas de cours réseau donc il faut quelques bases dans ce domaine.
La vidéo du corrigé du concours organisé pour Sharkfest permet aussi de comprendre certaines possibilités de l'interface. A voir à partir du dernier lien de la dépêche.
[^] # Re: Un bon tutoriel ?
Posté par voxmundix . Évalué à 7. Dernière modification le 09 octobre 2014 à 12:46.
Perso j'ai appris a l'utiliser grâce à ces tutos :
http://openmaniak.com/fr/wireshark_filters.php
http://www.malekal.com/2010/12/05/wireshark-sniffanalyse-reseau/
Après normalement tu en saura assez pour aller trifouiller dans la documentation de wireshark pour créer des filtres plus avancés (ou pour en rechercher des tout prêt). :)
# Debian
Posté par zebra3 . Évalué à 4.
Et même dans stable grâce aux backports.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.