Dans cet article, nous examinerons plusieurs fonctionnalités de Wireshark permettant d'analyser plus efficacement les captures de trafic réseau ; nous découvrirons comment obtenir des fichiers de capture de trafic réseau et quelles sont les exigences de base ; et enfin, nous verrons s'il est possible d'automatiser la capture et l'analyse du trafic dans les postes numériques.
Trois fonctionnalités Wireshark pour améliorer l'efficacité de l'analyse du trafic
Wireshark est l'un des outils les plus populaires pour la capture et l'analyse du trafic réseau. Il dispose de nombreuses fonctionnalités permettant une analyse facile et détaillée des données réseau.
Filtres d'affichage dans la barre d'outils
L'une des fonctions les plus connues et utiles de Wireshark est le Display filter (filtre d'affichage). Grâce à ce filtre, l'utilisateur peut demander à Wireshark d'afficher uniquement les trames correspondant à l'expression du filtre. Les autres données de capture sont masquées mais non supprimées.
Par exemple, lors de l'analyse d'une capture réseau d'un poste numérique, l'utilisateur peut faire en sorte que Wireshark n'affiche que les messages GOOSE — en excluant le trafic Sampled Values — ou uniquement les communications client-serveur (MMS).
Si vous utilisez certains filtres fréquemment, vous pouvez ajouter des boutons de filtre à la barre de menus. Pour ce faire, entrez l'expression du filtre dans le champ de texte et cliquez sur le bouton plus (+) à droite.
En cliquant sur OK, vous verrez le bouton de filtre dans la barre de menus. Un clic sur ce bouton applique le filtre.
Grâce à ces fonctionnalités, vous n'aurez plus besoin de saisir manuellement les expressions de filtre d'affichage fréquemment utilisées.
Marquage et commentaire des trames
Lorsque l'utilisateur a trouvé des trames d'intérêt, elles peuvent être marquées. Les trames marquées sont facilement identifiables grâce à leur fond noir. L'une des fonctions utiles est la création d'un nouveau fichier de capture basé sur l'original, incluant uniquement les trames marquées (Fichier → Exporter les paquets spécifiés).
Pour marquer une trame, cliquez dessus dans le panneau Packet List et appuyez sur Ctrl+M.
L'inconvénient du marquage est qu'il n'est pas conservé dans les fichiers pcap/pcapng.
Pour transmettre les résultats de l'analyse à vos collègues, utilisez la fonction de commentaires de paquets. Faites un clic droit sur la trame spécifique, choisissez Packet Comment et saisissez le texte de votre note. Enregistrez le fichier au format pcapng. Vos collègues peuvent utiliser le filtre frame.comment pour afficher toutes les trames avec commentaires.
Affichage des noms d'IED définis par l'utilisateur à la place des adresses MAC et IP
Est-il possible de faire en sorte que Wireshark utilise des règles personnalisées pour remplacer des adresses MAC spécifiques par des noms définis par l'utilisateur ? Par exemple, afficher à la place de 00:26:57:01:34:6e — Protection_IED. La réponse est oui.
Sous Windows : Aide → À propos ; sous macOS : Wireshark → À propos de Wireshark. Dans la boîte de dialogue, choisissez l'onglet Dossiers et cliquez sur le lien à côté de Configuration personnelle. Dans le dossier qui s'ouvre, créez un fichier texte nommé ethers. Spécifiez les adresses MAC et les noms définis par l'utilisateur (séparés par un espace). Enregistrez les modifications.
De même, créez ou éditez un fichier texte nommé hosts avec les adresses IP et les noms définis par l'utilisateur.
Dans Préférences → Résolution de noms, assurez-vous que les options Résoudre les adresses MAC et Résoudre les adresses réseau (IP) sont activées. Redémarrez Wireshark.
Export vers CSV/JSON et autres formats
Wireshark fournit une fonctionnalité d'export vers plusieurs formats de données — CSV, JSON, texte brut, XML, etc.
Pour exporter les données, développez la trame, sélectionnez le champ d'intérêt, faites un clic droit et choisissez Appliquer comme colonne. Puis choisissez Fichier → Exporter les dissections de paquets et sélectionnez le format requis.
D'où obtenir les fichiers de capture de trafic ?
Pour un petit poste 110 kV avec 22 flux Sampled Values et 120 messages GOOSE, vous aurez besoin d'environ 100 To/mois de stockage. Stocker les données pendant 6 mois nécessiterait 600 To.
L'alternative consiste à effectuer la capture de trafic à l'image des enregistreurs de perturbations — déclencher l'enregistrement sur la base d'événements de communication (perte de message, changements de la qualité de synchronisation temporelle, etc.). Avec cette approche, il est possible de stocker et traiter des fichiers PCAP sur plusieurs années.
Cette fonctionnalité est disponible dans le système de gestion du cycle de vie des postes numériques Tekvel Park, qui dispose d'une structure modulaire incluant un serveur et des dispositifs de surveillance réseau appelés Live View Box.
Est-il possible d'automatiser l'analyse du trafic des postes numériques ?
Oui. C'est pourquoi Tekvel Park a été créé. Par rapport à Wireshark, il offre :
- Surveillance en ligne et automatique du trafic IEC 61850 par rapport au fichier SCD. L'utilisateur obtient des informations détaillées sur les paramètres des messages ne correspondant pas à la configuration du fichier SCD.
- Détection automatique des défaillances de communication IEC 61850 (défaillances de compteurs de messages, changements d'état de synchronisation temporelle, perte de messages, etc.).
- Détection automatique des changements de données dans les messages GOOSE/Sampled Values.
- Enregistrement du trafic déclenché par les événements identifiés par Tekvel Park, avec capture du trafic avant et après l'événement sous forme d'un seul fichier PCAP.
- Visualisation des formes d'onde basées sur les données GOOSE et Sampled Values avec description des signaux dans votre langue maternelle.
Ne vous perdez pas dans les réseaux des postes numériques !