Activez la géolocalisation des adresses IP avec Wireshark : suivez le guide !

Wireshark est un logiciel d'analyse de protocole réseau très populaire auprès des professionnels de l'informatique. Il permet d'analyser les trames pour trouver des informations précises sur les échanges réseau, tels que l'adresse IP d'un module ADAM. Cet article présentera une fonctionnalité de géolocalisation d'adresses IP dans Wireshark. Fonctionnalité de géolocalisation d'adresses IP dans Wireshark


Wireshark dispose d'une fonctionnalité de géolocalisation d'adresses IP qui peut être très utile pour les administrateurs réseau. Cette fonctionnalité permet de visualiser les emplacements géographiques des adresses IP qui apparaissent dans les captures réseau. Elle utilise une base de données de géolocalisation d'adresses IP pour afficher les emplacements sur une carte.

Pour activer la géolocalisation d'adresses IP dans Wireshark, il faut suivre les étapes suivantes :

  1. Tout d'abord, il faut télécharger la base de données de géolocalisation d'adresses IP depuis le site de MaxMind. Cette base de données est gratuite et peut être téléchargée depuis ce lien : https://dev.maxmind.com/geoip/geoip2/geolite2/.
  2. Ensuite, il faut ouvrir Wireshark et accéder au menu "Edit" -> "Preferences".
  3. Dans la fenêtre des préférences de Wireshark, il faut sélectionner "Name Resolution" dans la colonne de gauche.
  4. Dans la section "Name Resolution", il faut cocher la case "Resolve network addresses to geographic locations (GeoIP)".
  5. Ensuite, il faut cliquer sur le bouton "Edit" à côté de l'option "GeoIP database directories".
  6. Dans la fenêtre qui s'ouvre, il faut ajouter le chemin du dossier où la base de données de géolocalisation a été téléchargée.
  7. Enfin, il faut cliquer sur "OK" pour enregistrer les modifications.

Une fois que la géolocalisation est activée, Wireshark affichera les emplacements géographiques des adresses IP sur une carte. Pour visualiser la carte, il suffit de cliquer avec le bouton droit de la souris sur une adresse IP dans la fenêtre de capture et de sélectionner "Resolve -> Resolve using GeoIP".

Tshark et Wireshark

Tshark est un analyseur de trafic réseau basé sur une ligne de commande. Il permet de capturer des paquets de données d'un réseau opérationnel ou de lire des paquets d'un fichier de capture. La commande Tshark fonctionne de la même façon que la commande tcpdump et utilise également le même format de capture de fichier libpcap.

Wireshark, quant à lui, est une interface utilisateur graphique (GUI) de tiers d'un analyseur de protocole réseau utilisé pour vider et analyser le trafic du réseau de façon interactive. Par défaut, Wireshark utilise le format libpcap pour des captures de fichier, également utilisé par l'utilitaire tcpdump et les autres outils similaires.

Un avantage clé de l'utilisation de Wireshark est la capacité de lire et d'importer plusieurs autres formats de fichiers, en dehors du format libpcap. Tshark et Wireshark ont plusieurs commandes et fonctions uniques, y compris l'élaboration des conversations TCP et la création de filtres de protocole réseau.

Conclusion

Wireshark est un outil très puissant pour les administrateurs réseau. La fonctionnalité de géolocalisation d'adresses IP peut être très utile pour visualiser les emplacements géographiques des adresses IP dans les captures réseau. Tshark, quant à lui, est un outil en ligne de commande qui peut être utilisé en conjonction avec Wireshark pour effectuer des analyses de trafic réseau plus avancées. N'hésitez pas à utiliser ces outils pour résoudre tout problème réseau survenu, veuillez toutefois noter qu'il peut y avoir des problèmes avec les liens corrompus dans la présentation de Yohan MEIER. Pour plus d'informations sur l'utilisation de Wireshark et Tshark, consultez les liens vers des ressources supplémentaires fournies dans cet article.

Index
  1. Tshark et Wireshark
  2. Conclusion

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up