Voici, une liste non exhaustive des fonctionnalités de base de ce logiciel:

• support de plusieurs protocoles (une centaine au total)
• capture du trafic en mode on/off line
• fenêtre de visualisation à trois volets
• fonctionne sur plusieurs systèmes d’exploitation: Windows, Linux, OS X, Solaris, Free BSD, netBSD, etc.
• utilisation de filtres pour faciliter l’analyse des données
• analyse du trafic VoIP
• lecture/écriture dans plusieurs formats: tcpdump, Pcap NG, Catapult DCT200, Cisco, Microsoft, etc…
• possibilité de compresser/décompresser les fichiers de capture à la volée
• les données peuvent être analysées sur plusieurs interfaces différentes: Ethernet, 802.11 (wifi), PPP/HDLC, ATM; Bluetooth, USB, Token Ring, Frame Relay, etc.
• support de la décompression de plusieurs protocoles comme IPsec, Kerberos, SNMP v3, SSL/TLS, WEP et WPA/WPA2

Certains peuvent également se demander pourquoi utiliser un tel logiciel? D’autres diront immédiatement que ce genre de logiciel est utilisé afin de faire de “l’écoute” sur le réseau et de pouvoir ainsi obtenir l’accès à des données confidentielles.
Premièrement, l’utilisation de Wireshark peut être particulièrement utile afin de trouver et réparer une panne ou un problème dans un réseau. Cet outil permet d’obtenir une meilleure compréhension de l’environnement et de l’infrastructure du réseau. Deuxièment, et je ne souhaite pas lancer un débat ici, effectivement ces outils peuvent être utilisé à des fins de Ethical Hacking.

Installation de Wireshark

A l’heure de l’écriture de cet article, la version la plus récente de Wireshark est la version 1.2.5. Vous pouvez la télécharger ici: http://www.wireshark.org/download.html. La version pour Mac OS X est téléchargeable au format binairies (déjà compiler), il suffit de glisser l’application dans votre dossier Applications et de double cliquer dessus. La seule chose importante est la suivante: vous devez installer X11. Normalement X11 est installé par défaut, si vous avez modifié l’installation du système vous devrez réinstaller ce logiciel afin de pouvoir utiliser Wireshark.

Dès que vous avez monté l’image disque, vous trouverez plusieurs dossiers (“Command Line”, “ChmodBPF” ainsi qu’un alias vers “Startup Items”). Entre autres un dossier appelé “Utilities”. Ce dossier contient plusieurs fichiers/scripts qui doivent être installés dans des répertoires spécifiques. En particulier le contenu sous répertoire “Command Line” doit être copié dans “/usr/local/bin”. Vous pouvez y parvenir via le Finder, mais voici les commandes taper dans le Terminal en partant du principe que vous avez copié le répertoire “Utilities” sur votre Bureau.

1
2
3
4

sudo mv /Users/sganiere/Desktop/Utilities/Command\ Line/ /usr/local/bin/
cd /usr/local/bin/Command\ Line/
sudo mv * ../
sudo rm -r /usr/local/bin/Command\ Line/

Attaquons-nous maintenant au répertoire “ChmodBPF”. Pour que Wireshark fonctionne correctement, il doit pouvoir accéder librement aux répertoires /dev/bpfX. Plus particulièrement ces répertoires sont utilisés par le “Berkeley Packet Filter” (BPF) afin de fournir un interface direct sur la couche “data” du protocole (couche numéro 2 dans le modèle ISO). L’accès à ces répertoires donne l’accès à tous les paquets du réseau y compris ceux destinés à d’autres machines.
Donc après cette petite explication, il faut glisser le répertoire “ChmodBPF” sur l’alias “Startup Item”. Pour ceux qui préfèremt utiliser le Terminal:

1

sudo mv /Users/sganiere/Desktop/ChmodBPF/ /Library/StartupItems

Si vous êtes sous Snow Leopard (Mac OS X 10.6), il vous faut encore modifier les autorisations sur ce répertoire:

1
2

cd /Library/StartupItems
sudo chown -R root:wheel ChmodBPF

Une fois arriver ici, il est donc conseiller de redémarrer afin de valider ces modifications et également de changer les autorisations sur ces répertoires /dev/bpfX.

Lancement de l’application

Une fois redémarré, vous pouvez lancer l’application. Le premier démarrage risque de prendre un peu de temps puisque X11 doit préparer un certain nombre d’éléments comme les polices de caractères, des dossiers de cache, etc. Si lors de ce premier démarrage vous observez un message d’erreur relatif au MIBS. Il faut modifier les préférences de Wireshark comme suit:

• Fermez le message d’erreur
• Ouvrez les préférences via le menu “Edit”
• Puis “SMI (MIB and PIB)” paths dans “Name Resolution”
• Cliquez sur “Edit”, puis “New” et ajouter “/usr/share/snmp/mibs/” dans la fenêtre popup “Directory Path”.
• Cliquez sur “Apply” et fermer la fenêtre des préférences
• Relancez l’application

Et voilà normalement vous pouvez utiliser Wireshark sans problème!

Sources:

• http://www.nightangel.fr/installer-wireshark-ethereal-sur-mac-os-x-leopard-snow-leopard
• http://michaelgracie.com/2009/10/13/getting-wireshark-running-on-os-x-snow-leopard-10.6/
• http://www.gsp.com/cgi-bin/man.cgi?section=4&topic=bpf
• http://en.wikipedia.org/wiki/Management_information_base
• http://www.wireshark.org/docs/wsug_html_chunked/
• http://en.wikipedia.org/wiki/Wireshark