Wireshark est un outil multiplateforme permettant de capturer et d'analyser le trafic Internet ou LAN sur un réseau local. Il est inclus dans toutes les distributions Linux et peut être installé depuis les dépôts. Un inconvénient est que, par défaut, la carte réseau n'est visible qu'avec les privilèges administrateur (sudo). Un autre inconvénient est que le fichier de capture temporaire dans le dossier /tmp se remplit rapidement.

1. Exécution de Wireshark sous un compte utilisateur (sans sudo)

1) Installation de l'application Wireshark

Normale:

sudo apt-get install wireshark

Ou depuis les dépôts:

sudo apt-get update
sudo add-apt-repository ppa:dreibh/ppa
sudo apt-get update
sudo apt-get install wireshark

2) Activation de la possibilité d'exécuter à partir de n'importe quel utilisateur - création d'un groupe d'utilisateurs "wireshark"

sudo dpkg-reconfigure wireshark-commsur

répondez OUI.

3) Ajout de la connexion de l'utilisateur actuel au groupe "wi" reshark"

sudo adduser $USER wireshark

ou

sudo usermod -a -G wireshark$UTILISATEUR

4) Activer l'enregistrement des paquets sous n'importe quel utilisateur

sudo chmod +x /usr/bin/dumpcap

5) Après cela, vous pouvez lancer depuis l'utilisateur actuel

wireshark

2. Configuration d'un tampon en anneau dans wireshark

1) Créez un dossier à capturer et dedans un fichier vide avec un nom qui deviendra un modèle pour les fichiers tampon :

cd ~
mkdir wireshark-capture
cd wireshark-capture
touch recorré

2) En wireshark allez dans le menu "Capture" - "Sortie" et effectuez les réglages :

• "Capturer dans un fichier permanent :" -"Ouvrir" - sélectionnez le fichier créé dans l'élément - par exemple,/home/username/wireshark-capture/record. Voulez-vous le remplacer ? Oui.
  *case à cocher en haut Créer automatiquement un nouveau fichier
• après 80000 paquets (correspond à un fichier de capture d'environ 74 à 77 Mo)
• après 50 mégaoctets (fichiers de taille égale 47,7 Mio)
• ci-dessous Utilisez un tampon en anneau avec 3 fichiers (n'importe quel nombre de fichiers de 3 à 5)
• D'accord

Désactivez la capture à l'aide du bouton rouge "Stop" ou des touches Ctrl+E.

Pour redémarrer à l'aide d'un tampon en anneau, répétez ces étapes
"Capture" - "Sortie", etc. La réponse à la question sur la sauvegarde des données précédentes est négative.

Sources :
Creating a rolling or ring buffer packet capture in Wireshark forFenêtres
Configuration de Wireshark for non root user

Publications connexes

Arrêtez et désactivez TimeShift pour économiser de l'espace disque

Résolution des erreurs de connexion L2TP/IPsec «Could not add IPsec connection» et «no acceptable traffic selectors found»

Partitionnement du disque dur pour installer Linux Mint sur un ancien PC avec BIOS en mode GPT

Mise à jour de Linux Mint 21.3 Virginia vers Linux Mint 22.3 Zena

Suppression du noyau Xanmod d'un système d'exploitation Linux