Fiddler : Monitorer le traffic HTTP

Fiddler (fork de FiddlerCap) est un programme qui permet de monitorer le traffic HTTP.
Ce dernier permet de récupérer les GET et POST effectués par son navigateur WEB.

Cela peux s’avérer interresssant dans le cas où vous avez un doute sur une page pour visualiser les connexions HTTP établies depuis la page, déterminer la source d’une connexion d’une page (referrer) etc.
Fiddler permet aussi de visualiser le temps de connexions aux pages.

La page de téléchargement du logiciel : http://www.fiddler2.com/Fiddler2/version.asp
L’installation ne pose pas de souci particulier. Microsoft .NET Framework doit être présente.

Fiddler ajoute un proxy aux navigateurs WEB afin de rediriger le traffic « vers lui même » et donc pouvoir le monitorer.

Présentation rapide de Fiddler

Le logiciel se présente avec :

  • en 1/ Les menus et icônes raccourcis.
  • en 2/ Les connexions établies, notez que :
    • qu’une icône selon le Content (images, fichier html, javascript etc)
    • Result donne le résultat de la requête HTTP – 200 si établie etc, se reporter à la page suivante pour les codes du protocole HTTP : http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
    • la colonne Process donne le processus qui initialise la connexion, en général, le navigateur WEB.
  • en 3/ barre permettant d’effectuer des opérations sur les connexions établies : filtrer, voir le header etc.

Les couleurs des lignes changent selon le Content et les codes HTTP (une connexion non établies 404 sera en rouge par exemple).

Le menu Rules permet de masquer les images ou les connexions HTTPS afin d’alléger la liste des connexions établies qui sont logguées.

Dans le menu de droite, l’onglet Filters permet d’effectuer un filtrage plus poussé.
Un clic droit / Colors permet de coloriser une ligne de son choix afin de la marquer.

Il est possible bien entendu de pouvoir effectuer des recherches (Edit / Find Sessions ou CTRL+F), les occurences trouvées apparaîssent en jaune.

 

Informations relatives aux Header

L’onglet Inspectors permet d’obtenir des informations supplémentaires sur les connexions logguées.
En autre, le User-Agent, le Content-Type, si la page est compressée (gzip, deflate etc), présence de Cookies.
Vous trouverez aussi le referrer – Par exemple, dans le cas d’une connexions tiers depuis une page (par exemple une publicité), le referrer de la page de publicité sera la page du site WEB qui a initialisé la connexion vers cette publicité.
Ci-dessous, la connexion au site www.maison.fr issue d’une recherche Google (lien clické depuis Google) qui est donc le referrer, on voit d’ailleurs les keyword saisies dans Google via le paramètre q= dans la requête.

On peux aussi obtenir des informations sur le transport, notamment ci-dessous, on peux voir que le paquet HTTP est passé par un squid sur une machine neptune.
Dans la partie miscelanneous, on peux voir que ce dernier a rajouté des lignes X-Cache dans le header signifiant qu’une copie de la page a été trouvé dans le cache du proxy.
Ceci permet donc de savoir que l’on a traversé un proxy, néanmoins, les proxy dits anonymous se garde de rajouter ces informations dans le header.

L’onglet Raw permet de visualiser les données brutes (header et contenu de la page).
Dans le cas où les pages sont compressés/encodées, Fiddler vous le fait savoir via le message encadré en bleu ci-dessous.
Vous pouvez alors cliquer dessus afin de décoder la page.

Le contenu devient alors accessible.

Temps de réponse et TimeLine

Fiddler permet aussi de visualiser les temps de réponses page par page, ce qui peut donner une indication de la provenance sur des lenteurs d’un site WEB.
L’onglet Statistics donne le temps de connexion :

ainsi que l’onglet TimeLine :

Fiddler et malwares

Une petite note concernant les malwares.

Dans la capture ci-dessous, le programme malicieux _ex-68.exe contacte son C&C sur le port 80. La connexion aux C&C est donc via le protocole HTTP.
Fidder ne loggue aucune session, Fiddler ne permet donc pas de récupérer systématiquement les connexions HTTP établies par tous les processus mais à coup sûr venant d’un navigateur WEB.

Il ne faut donc pas partir du principe qu’en utilisant Fiddler, vous visualisez tout le contenu HTTP établies par la machine.
Tournez-vous plutôt vers une solution de type WireSharck.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 236 times, 1 visits today)

4 thoughts on “Fiddler : Monitorer le traffic HTTP

  1. Sinon pour espionner les trames SSL on a Ospy.
    Ca hooke les api de Crypto et réseau 🙂

    Problème, il faut lui indiquer le programme précis que l’on veut surveiller.. Et dans le cas de malwares et leur droppers/ Injections dans processus / autres il faut en vouloir parfois pour trouver le bon exe.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *