⚔ Mise en place de la journalisation réseau avec Wireshark pour détecter les intrusions – Linux
Introduction
Sous Linux, Wireshark est l’un des meilleurs outils d’analyse réseau pour détecter les intrusions et surveiller le trafic. Ce tutoriel détaille comment l’installer, le configurer et l’utiliser pour protéger votre système.
Prérequis
• Distribution Linux (Ubuntu, Fedora, etc.)
• Compte sudo pour les droits d’installation
• Wireshark installé (Télécharger Wireshark)
Méthodologie
Installation de Wireshark
Installez Wireshark depuis le gestionnaire de paquets :
Configurez les permissions pour capturer les paquets sans root :
Redémarrez votre session pour appliquer les modifications.
Lancer une capture réseau
Ouvrez Wireshark depuis le terminal ou le menu Applications.
Sélectionnez l’interface réseau à surveiller (ex. : eth0 ou wlan0).
Cliquez sur Start Capture pour commencer la capture des paquets.
Appliquer des filtres pour détecter les intrusions
Utilisez des filtres pour isoler des paquets spécifiques :
Identifiez les comportements suspects :
• Tentatives de scan de port.
• Activités inhabituelles sur des ports critiques (SSH, HTTP, etc.).
Exportez les journaux pour les analyser ou les partager :
Automatiser la détection avec Tshark
Installez Tshark (Wireshark en ligne de commande) :
Lancez une capture en ligne de commande :
Appliquez des filtres en temps réel pour surveiller des anomalies :
Astuce
Combinez Wireshark avec des outils comme Suricata ou Snort pour une détection avancée des intrusions.
Avertissement
L’analyse réseau sans autorisation est une infraction légale. Utilisez Wireshark uniquement sur vos propres systèmes ou avec une permission explicite.
Conclusion
Avec Wireshark, Linux offre des capacités d’analyse réseau avancées pour surveiller et détecter les intrusions. La combinaison d’outils comme Tshark et Suricata renforce encore la sécurité de votre infrastructure.
IntroductionSous Linux, Wireshark est l’un des meilleurs outils d’analyse réseau pour détecter les intrusions et surveiller le trafic. Ce tutoriel détaille comment l’installer, le configurer et l’utiliser pour protéger votre système.
Prérequis• Distribution Linux (Ubuntu, Fedora, etc.)
• Compte sudo pour les droits d’installation
• Wireshark installé (Télécharger Wireshark)
MéthodologieInstallation de WiresharkInstallez Wireshark depuis le gestionnaire de paquets :
Code:
sudo apt update
sudo apt install wiresharkConfigurez les permissions pour capturer les paquets sans root :
Code:
sudo dpkg-reconfigure wireshark-common
sudo usermod -aG wireshark $USERRedémarrez votre session pour appliquer les modifications.
Lancer une capture réseauOuvrez Wireshark depuis le terminal ou le menu Applications.
Sélectionnez l’interface réseau à surveiller (ex. : eth0 ou wlan0).
Cliquez sur Start Capture pour commencer la capture des paquets.
Appliquer des filtres pour détecter les intrusionsUtilisez des filtres pour isoler des paquets spécifiques :
Code:
tcp.flags.syn == 1 && tcp.flags.ack == 0Identifiez les comportements suspects :
• Tentatives de scan de port.
• Activités inhabituelles sur des ports critiques (SSH, HTTP, etc.).
Exportez les journaux pour les analyser ou les partager :
Code:
File > Export Specified PacketsInstallez Tshark (Wireshark en ligne de commande) :
Code:
sudo apt install tsharkLancez une capture en ligne de commande :
Code:
sudo tshark -i eth0 -w capture.pcapAppliquez des filtres en temps réel pour surveiller des anomalies :
Code:
sudo tshark -i eth0 -Y "ip.src == 192.168.1.1"Combinez Wireshark avec des outils comme Suricata ou Snort pour une détection avancée des intrusions.
AvertissementL’analyse réseau sans autorisation est une infraction légale. Utilisez Wireshark uniquement sur vos propres systèmes ou avec une permission explicite.
ConclusionAvec Wireshark, Linux offre des capacités d’analyse réseau avancées pour surveiller et détecter les intrusions. La combinaison d’outils comme Tshark et Suricata renforce encore la sécurité de votre infrastructure.
