Après avoir lancé le logiciel Wireshark, la séquence suivante illustre la capture d'une série de 60 trames :
-
Sélectionner
puis . -
La ligne à priori. La syntaxe de ce filtrage est identique à celle de la commande tcpdump. La documentation est disponible à partir des pages de manuels de cette commande :
permet de préciser un filtrageman tcpdump
. Voici 3 exemples :-
ip
: en spécifiant le protocole réseau à analyser, on évite la capture des trames des autres protocoles des niveaux réseau et liaison. -
host 192.168.0.1
: en spécifiant l'adresse IP d'un hôte, on ne retient que le trafic émis et reçu par cette adresse. -
host 192.168.0.1 and host 10.0.0.1
: en spécifiant les adresses IP de 2 hôtes, on ne retient que le trafic entre ces 2 adresses.
D'une façon plus générale, on peut combiner plusieurs critères avec les opérateurs logiques
and
et|ouor
.-
le type :
host
,net
etport
. -
la direction :
src
etdst
. -
le protocole :
ether
,fddi
,tr
,ip
,ip6
,arp
,rarp
,decnet
,tcp
etudp
.
-
-
La rubrique
permet de fixer plusieurs critères d'arrêt en fonction du nombre de trames et|ou du volume de données capturées. -
Clicker sur le bouton
pour lancer la capture.