De nombreux outils sont disponibles pour déboguer le réseau, que cela soit pour déboguer une API REST ou pour analyser le traffic sur un routeur ou un réseau local.

Un comparatif est fait sur notre article sur Wireshark.

Tshark est la version CLI de wireshark, et vous permet de faire des captures avec votre outil préféré quand vous n'avez pas accès à une GUI, ou que tout simplement le serveur en CLI ne possède pas d'environnement graphique.

L'avantage c'est que vous pouvez exporter la capture réseau et l'ouvrir sur votre PC avec Wireshark ! Nous verrons cela en fin d'article.

Comment utiliser Tshark ?

Installation de tshark

Vous pouvez suivre la documentation officielle, sur du debian-based il suffit de tapper apt install tshark.

Vous avez également tshark en installant Wireshark. Et tout comme wireshark, tshark utilise Dumpcap comme moteur de capture.

Tshark a l'avantage d'être un outil léger et puissant, qui s'installe sur de nombreuses plateformes.

A l'installation vous pouvez choisir de donner l'accès à l'analyse réseau à tous les utilisateurs ou uniquement aux sudoers.

Comment capturer des paquets avec Tshark ?

Commandes de bases utiles

Pour voir la liste des interfaces capturables : tshark -D. Vous avez l'avantage de voir également les interfaces virtuelles.

Pour capturer : tshark ou tshark -i <interface_name>.

Vous pouvez faire des filtres complexes avec tshark -f "${filter} comme tcp port 80, de la même manière que les filtres sur wireshark.

Pour aller plus loin

La documenation officielle est très complète, et la commande tshark --help est très utile, tout comme le man.

Exporter et ouvrir la capture sur Wireshark

Un énorme atout de tshark c'est l'intercompatibilité et le format de capture.

Pour enregistrer une capture dans un fichier il faut utiliser l'option -w comme ceci : tshark -w <filename>.pcap.

Pour lire un fichier pcap, vous avez deux options :

• ouvrir en GUI avec Wireshark
• ouvrir avec tshark en colorant avec : tshark -r <filename>.pcap --color