Le langage de filtre d’affichage de Wireshark vous permet de contrôler les paquets que la plateforme affiche actuellement. Vous utiliserez généralement les filtres d’affichage pour vérifier la présence d’un protocole ou d’un champ. Cependant, vous pouvez également les utiliser pour comparer des paquets à l’aide d’opérateurs logiques, tels que “et” et “ou”.

Il est facile de confondre le filtre d’affichage de Wireshark avec son filtre de capture. Cet article explique comment utiliser le filtre d’affichage de la plate-forme sur un PC et un Mac. Il examine également la différence entre les filtres d’affichage et les filtres de capture dans Wireshark.

Comment utiliser le filtre d’affichage dans Wireshark sur un PC Windows

Il est assez simple d’utiliser le filtre d’affichage de Wireshark sur un PC. La plateforme fournit un champ en haut de l’écran qui vous permet d’expliquer rapidement les paquets que vous souhaitez afficher. Vous afficherez généralement les paquets en fonction des critères suivants:

  • Protocole
  • Valeurs des champs
  • Présence d’un champ
  • Comparaisons entre les champs

Toutefois, la fonctionnalité de champ d’affichage permet une utilisation plus complexe.

Il existe deux méthodes pour utiliser le filtre d’affichage dans Wireshark sur un PC Windows.

Méthode n° 1 – Saisie directe du filtre

En supposant que vous souhaitiez simplement afficher un protocole, suivez ces étapes.

  1. Localisez et cliquez sur la barre d’outils du filtre d’affichage dans Wireshark.
  2. Saisissez le nom du protocole dans la barre d’outils. Par exemple, tapez “tcp” si vous voulez afficher tous vos paquets TCP.
  3. Appuyez sur “Entrée” pour appliquer le filtre choisi. Vous pouvez également cliquer sur “Appliquer” après avoir entré votre expression de filtre.

Vous devriez maintenant voir Wireshark afficher les paquets basés sur le filtre que vous avez choisi. Tous ces paquets restent dans leur fichier de capture associé. Un filtre d’affichage ne modifie pas le contenu d’un fichier de capture. Il affiche les paquets correspondant au filtre que vous appliquez.

Si vous souhaitez supprimer le filtre que vous avez appliqué, cliquez sur le bouton Effacer. Il est situé à droite de la barre d’outils du filtre d’affichage.

Méthode n°2 – La barre de statistiques

Cette méthode permet d’appliquer un filtre sans avoir à taper directement dans la barre d’outils du filtre d’affichage.

  1. Localisez “Statistiques” dans le menu supérieur et cliquez dessus.
  2. Sélectionnez l’une des options dans la liste déroulante. Pour cette démonstration, choisissez “Endpoints”
  3. Une fenêtre pop-up devrait apparaître, affichant le rapport Endpoint avec les adresses MAC. Faites un clic droit sur l’une des adresses et sélectionnez “Appliquer comme filtre”.
  4. Cliquez sur “Sélectionné”.

La syntaxe de votre choix est automatiquement saisie dans la barre d’outils du filtre d’affichage.

Comment utiliser le filtre d’affichage dans Wireshark sur un Mac

Wireshark sur un Mac vous permet d’utiliser un filtre d’affichage pour montrer les paquets en fonction d’un ensemble d’options et d’expressions, y compris les protocoles, les comparaisons de champs, les valeurs de champs, et plus encore. Il existe deux façons d’utiliser le filtre d’affichage sur un Mac.

Méthode n° 1 – La barre d’outils du filtre d’affichage

Les étapes suivantes vous permettent d’afficher un protocole simple. Il est possible d’utiliser une variété d’opérateurs pour créer des filtres plus complexes, en supposant que vous ayez une compréhension approfondie de Wireshark. Suivez ces étapes pour un filtre d’affichage de protocole simple.

  1. Cliquez sur la barre d’outils du filtre d’affichage en haut de l’écran. Il s’agit de la zone de texte située à côté du mot “Filtre”.
  2. Saisissez le nom du protocole et cliquez sur le bouton “Appliquer”.

Wireshark affiche chaque paquet lié au protocole saisi qui se trouve dans votre filtre de capture actuel. Cliquez sur le bouton Effacer situé à côté de la barre d’outils du filtre d’affichage pour supprimer votre filtre et afficher à nouveau tous les paquets.

Méthode n° 2 – La barre de statistiques

Si vous ne connaissez pas l’expression exacte à saisir pour votre filtre, il existe une méthode plus simple que vous pouvez appliquer dans certains cas. L’exemple suivant montre comment créer un filtre d’affichage en utilisant un point de terminaison. Il peut également être appliqué à plusieurs autres types d’expressions et de protocoles. Suivez ces étapes pour créer un filtre d’affichage de point d’extrémité.

  1. Cliquez sur “Statistiques” dans la barre de menu supérieure.
  2. Sélectionnez “Points d’extrémité”.
  3. Naviguez jusqu’au point d’extrémité que vous souhaitez filtrer dans la boîte contextuelle, cliquez avec le bouton droit de la souris et mettez en évidence “Appliquer comme filtre”.”
  4. Choisissez “Selected.”

Vous devriez voir Wireshark entrer automatiquement la syntaxe de votre choix dans la barre d’outils du filtre d’affichage. La plate-forme affichera également les paquets pertinents pour le point d’extrémité que vous avez choisi.

FAQ supplémentaires

Quelle est la différence entre un filtre d’affichage et un filtre de capture ?

Wireshark vous permet d’utiliser des filtres d’affichage et des filtres de capture pour naviguer dans vos paquets. Il est facile de confondre ces filtres. Cependant, ils servent des objectifs différents et leur utilisation nécessite des syntaxes différentes.

Un filtre d’affichage est utilisé lorsque vous avez capturé tout ce dont vous avez besoin et que vous souhaitez afficher des paquets spécifiques pour les analyser.

Les filtres de capture sont plus limités que les filtres d’affichage. Ils réduisent la taille d’une capture de paquets bruts et doivent être définis avant de commencer le processus de capture de paquets. Vous utiliserez généralement les filtres de capture si vous souhaitez appliquer une commande pour renvoyer ou supprimer des types spécifiques de paquets d’une capture. Les filtres de capture ne peuvent pas être modifiés pendant le processus de capture.

Les filtres d’affichage et les filtres de capture diffèrent également par la syntaxe qu’ils utilisent.

Avec un filtre d’affichage, vous utilisez une combinaison de filtres et d’opérateurs booléens pour créer une description logique du filtre que vous souhaitez créer. Les exemples incluent “==” et “!=” qui signifient respectivement égal et non égal.

Les filtres de capture utilisent une syntaxe plus compliquée qui combine des masques, des décalages d’octets et des valeurs hexadécimales avec le langage de filtrage booléen. Cela rend les filtres de capture moins intuitifs que les filtres d’affichage, mais cela signifie également que vous pouvez les utiliser pour appliquer des filtres plus complexes.

Appliquez vos filtres

La fonctionnalité de filtre d’affichage de Wireshark vous permet d’effectuer des vérifications rapides sur les paquets de votre capture. Elle est idéale pour les captures volumineuses lorsque vous avez besoin d’éliminer tout le bruit sur votre écran afin d’analyser des protocoles ou des champs spécifiques. Wireshark fournit des informations détaillées sur les différents modificateurs de filtre et les expressions pour le filtre d’affichage via son wiki.

Mais maintenant, nous voulons connaître votre avis. À quelle fréquence avez-vous besoin d’analyser des paquets spécifiques dans Wireshark ? Pensez-vous que l’utilisation du filtre d’affichage vous aidera à devenir plus efficace lorsque vous utiliserez la plateforme ? Dites-nous ce que vous pensez du filtre d’affichage de Wireshark dans les commentaires ci-dessous.