Sniffer réseau : Tutorial Ethereal (2)

3. Comment capturer les trames sur le réseau
Allez dans le menu “Capture” et cliquez sur “Start”.
La fenêtre suivante s'ouvre.





Choisissez l'interface sur laquelle vous voulez “écouter”. Si vous en avez qu'une le choix ne sera pas très difficile

Par défaut l'espace réservé à la collecte des données est défini à 1MB. Cela devrait être suffisant. Dans le cas contraire augmentez le.
Activer l'option “Capture packets in promiscuous mode”. En fait cette option permet à la carte réseau de lire et d'intercepter tout le trafic sur le réseau. Dans le cas contraire celle-ci n'interceptera que les trames qui lui sont destinées et ainsi vous ne verrez pas toutes les trames Multicast et Broadcast.
Laissez le champ “Capture Filter” vide dans un premier temps. Nous verrons par la suite comment le remplir.
Nous ne toucherons pas non plus aux autres options.

Il ne vous reste plus qu'à démarrer la capture en cliquant sur “OK”.
La fenêtre suivante s'ouvre.





Nous prendrons ici une capture de 30 secondes. Cliquez sur “Stop”. Ethereal va alors afficher les trames vues par la carte réseau dans un format lisible.




Sur la première partie de cette fenêtre les différentes trames capturées s'affichent et suivant les colonnes nous avons les informations suivantes :

Première colonne : numéro de la trame.
Deuxième colonne : temps écoulé depuis le départ de la capture et l'arrivée de la trame.
Troisième colonne : adresse IP ou nom de la machine émettrice
Quatrième colonne : adresse IP ou nom de la machine réceptrice
Cinquième colonne : protocole utilisé entre les deux machines
Sixième colonne : informations complémentaires

La quantité de données capturées peut vite devenir considérable, d'autant plus que plusieurs communications peuvent êtres établies en parallèle comme par exemple une connexion à www.tonguide.com et une autre à www.clashinfo.com.
C'est pourquoi nous allons voir comment définir un filtre pour capturer une partie de tout ce que voit la carte réseau.