Wireshark — Analyse de captures réseau

PCAP Réseau

Analyse d'un PCAP suspect

# Suivre un flux TCP
Clic droit -> Follow -> TCP Stream

# Exporter des fichiers
File -> Export Objects -> HTTP (images, exe...)

# Filtres forensic utiles
http.request.method == "POST"     # données envoyées
smb                                # partages Windows
ftp.request.command == "PASS"      # mots de passe FTP
telnet                             # tout en clair !

Tshark en CLI

# Extraire les requêtes DNS (exfiltration ?)
tshark -r capture.pcap -Y "dns" -T fields -e dns.qry.name

# Conversations suspectes
tshark -r capture.pcap -z conv,tcp

# Chercher des patterns dans le payload
tshark -r capture.pcap -Y "tcp" -T fields -e data | xxd