Outils

Wireshark ou Xplico ?

Si Wireshark, en tant qu’outil de monitoring de réseau, est certainement le plus connu, Xplico est dédié aux débutants. Comparatif deux outils.

Xplico est un outil dédié lui aussi au monitoring de réseau que l’on retrouve sur la distribution DEFT. On peut également l’installer sur d’autres distributions. Ainsi, sur une machine tournant sous Ubuntu, l’installation se fait en quatre lignes de commande. Une fois l’installation terminée, on ouvre l’outil et on peut commencer la capture.

Sauf que si chez certains, la capture fonctionne très bien, ce n’est pas le cas pour tout le monde. Ainsi, pour une raison que j’ignore, la capture a été très partiellement voire inexistante selon certaines configurations.

Si on tente la capture en passant directement via DEFT, cette dernière semble bien se passer comme le prouve la réponse à ce sujet.

Wireshark présente l’avantage de fonctionner sur toutes les machines, peu importe la distribution installée. Mais le gros problème reste dans la compréhension des résultats. Comment lire lorsque l’on a des dizaines de lignes qui défilent avec différents protocoles et différentes couleurs ?

On peut se lancer dans la lecture de différents tutoriels et différentes documentations des différents protocoles ou tout simplement se lancer dans les challenges.

Ainsi, le site Security Override propose des challenges spécialement dédiés à Wireshark.

On va illustrer ici le premier challenge. security_override_1.jpg

Challenge Security Override

On doit retrouver l’user et le mot de passe d’une identification FTP. On nous donne pour cela un fichier que l’on va lire avec Wireshark. Il suffit dans cette première étape de faire défiler les lignes pour trouver la bonne réponse. security_override_2.jpg

Lecture de paquets avec Wireshark

On monte ensuite en niveau petit à petit et au fur et à mesure que l’on fait les challenges, on comprend le fonctionnement de Wireshark, ses options, l’encodage aussi des informations.

En effet, il faut comprendre qu’une bonne partie des informations sensibles qui peuvent être capturées par Wireshark ne font pas nécessairement écrites en clair mais sont encodées. Il convient alors de trouver l’encodage. On peut utiliser cet outil en ligne par exemple ou encore celui-ci.

Personnellement je me suis allégrement servie des deux, selon les challenges sur lesquels j’étais.

Par ailleurs, il existe une façon très simple de trier les informations. On sélectionne la ligne adéquate, on fait un clic droit et on sélectionne « Follow TCP Stream ». Il y a d’autres options mais dans ce cas de figure, c’est l’option qui est la plus adéquate.

Les filtres avec Wireshark

On obtient alors une fenêtre qui a compilé toutes les informations pertinentes.

Des infos récoltées avec Wiresharksecurity_override_5.jpg

J’ai donné ici les solutions du premier challenge de la section Forensics de Security Override pour illustrer au mieux Wireshark.

Au final, après avoir testé Wireshark et Xplico, c’est effectivement Wireshark qui reste l’outil le plus pertinent, une fois que l’on a compris son fonctionnement.

Il est bien évident que Wireshark et Xplico ne sont pas dédiés à des fins malicieuses et délictueuses. 

2 réflexions sur “Wireshark ou Xplico ?

  • Bonjour,

    Bonjour,
    Desolé mais je encore etre mechant 🙂 Alors Premierement leak les soluces de chall ca ne se fait pas du tout meme si tu t’excuses a la fin :s
    Ensuite Xplico est Wireshark n’ont rien a voir wireshark c’est un sniffer et Xplico un outil de forensic,
    donc pas du tout le meme et les fonctionnalités attendu ne sont pas les memes.

  • Tris Acatrinei

    Pas grave on a l’habitude :p 

    Pas grave on a l’habitude :p 

    Oui je sais mais je cherchais un exemple pour illustrer et ça m’a semblé le plus pertinent, d’autant que je ne leak que le premier challenge et pas le reste. Le fait est que j’ai cherché des illustrations de Wireshark avec des explications pratiques sans réellement les trouver. 

    Oui effectivement tu as raison sur les fonctionnalités, d’autant que Xplico est inclus dans DEFT mais en lisant ici et là des notes sur ce dernier, j’ai vu que des comparatifs avaient été fait. 

Commentaires fermés.