Analyse réseau Wireshark : vérifier plugin VPN pour firefox

Tags: #<Tag:0x00007fc9e223cf68> #<Tag:0x00007fc9e223cdd8>

Salut à tous,

J’ai testé deux plugin VPN pour firefox : hotspot shield et browsec. J’ai pu vérifier l’adresse IP de mon navigateur qui change bien selon les pays d’où je me connecte.
Cependant cela ne me suffit pas, j’aimerais voir dans ma capture réseau, la présence du chiffrement de mon surf.
Je suis débutant avec wireshark et j’ai besoin d’aide. Voilà comment je capture mon réseau :

#!/bin/sh
interface=$(ip link show | grep "2: enp" | awk '{ print $2}' | sed -e "s/://")
/usr/sbin/tcpdump -i $interface -w ./tmp/tcpdump/log`echo $interface`_`date +%d%h%Y`_`date +%H`_`date +%M`_`date +%S` &` 

Ensuite lorsque ma navigation est finie j’ouvre mon log et je peux chercher.

J’ai besoin de connaître le filtre à indiquer dans wireshark pour que ce soit clair; si quelqu’un peut m’aider…

Bonjour

-Sur ma machine, je n’ai pas de tcpdump installé pour vérifier.

-Je ne sais pas à quoi sert le dernier caractère (`)de ta ligne de commande tcpdump
mais je pense qu’il doit s’agir d’une faute de frappe, alors je l’ai supprimé.

-Je ne suis pas sûr non plus que le caractère & qui le précède soit indispensable,
mais je l’ai laissé quand même.

-Le chemin absolu de la commande tcpdump n’est peut-être pas indispensable,
mais je l’ai laissé quand même.

-Puis j’ai reformulé les lignes de commandes que tu avais postées dans ton message.

#!/bin/sh
interface=$(ip link show | awk -F': ' '/2: enp/ {print $2}')
/usr/sbin/tcpdump -i $interface -w ./tmp/tcpdump/log$interface_$(date +%d%h%Y_%H_%M_%S) &

salut,

oui y avait un caractère de trop , " ` " est à enlever (j’ai eu qq problèmes quand j’ai voulu copier le code :slight_smile: )

en fait je ne demandais rien à propos de ce code mais j’ai souhaité le partager, des fois que ça intéresserait qqn.

c’est dans l’utilisation de wireshark qui me pose pb. J’ai trouvé pas mal d’infos sur comment analyser openvpn ou autres mais pas sur le tradfic que je cherche à mettre en évidence

Personnellement je remplacerais par

interface=$(basename -a $(echo /sys/class/net/enp*) )

Ceci me semble plus simple et limite le nombre de programmes appelés. L’inconvénient, c’est que cela ne fonctionne pas s’il y a plusieurs interfaces dont le nom commence par enp. On obtient les noms de plusieurs interfaces avec l’option -a ( ou --multiple) de basename.
Si, comme dans le script initial on veut la première interface dont le nom commence par enp on peut écrire

interface=$(basename -a $(echo /sys/class/net/enp*) )
interfcae=$(echo $interface | tr ' '  '\t' | cut -f1)

Ce genre de considérations devrait être dans le forum programmation.

Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة


F. Petitjean
Ingénieur civil du Génie Maritime.

« On ne perd pas son temps en aiguisant ses outils. »
Proverbe français

« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)

Tu peux vérifier la présence de trafic HTTP/HTTPS (TCP ports 80 et 443) et DNS (TCP et UDP port 53) lié aux sites que tu visites. Dans ce cas, ça ne chiffre pas si bien que ça.