Wireshark — Analyse de captures réseau
★★★★★
Analyse d'un PCAP suspect
# Suivre un flux TCP
Clic droit -> Follow -> TCP Stream
# Exporter des fichiers
File -> Export Objects -> HTTP (images, exe...)
# Filtres forensic utiles
http.request.method == "POST" # données envoyées
smb # partages Windows
ftp.request.command == "PASS" # mots de passe FTP
telnet # tout en clair ! Tshark en CLI
# Extraire les requêtes DNS (exfiltration ?)
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name
# Conversations suspectes
tshark -r capture.pcap -z conv,tcp
# Chercher des patterns dans le payload
tshark -r capture.pcap -Y "tcp" -T fields -e data | xxd