Retour

Wireshark – Utilisation

1. Comment fonctionne Wireshark ?

Lorsqu’on lance une capture, Wireshark utilise un mécanisme réseau spécial :

📡 Mode Promiscuous

Wireshark demande à la carte réseau de passer en mode promiscuous.

⚠️ Ce fonctionnement dépend du matériel et de l’architecture réseau : sur un switch moderne, tu ne verras pas les trames unicast entre deux autres machines sans techniques spéciales (ex: ARP spoofing).

2. Gérer les profils Wireshark

Wireshark permet de créer et gérer plusieurs profils utilisateur adaptés à différents contextes (pentest, réseau entreprise, etc).

3. Capturer avec précision

Il est possible de définir une capture limitée dans :

🔧 Ces options sont disponibles via Capture Options (ou touche Ctrl + K).

4. Zui / BrimData pour les gros volumes

Lorsque tu traites de très grands fichiers PCAP, Wireshark peut ralentir. C’est là que Zui (anciennement Brim) est utile.

5. Trames manquées ou réseau saturé

Sur un réseau très actif, tu peux voir des messages dans Wireshark comme :

⚠️ Cela signifie que ta carte réseau ou ton PC n’arrive pas à suivre la charge !

6. Les filtres Berkeley (BPF)

Les Berkeley Packet Filters (BPF), aussi appelés Capture Filters, sont utilisés pour filtrer les paquets avant leur enregistrement.

📌 Syntaxe plus simple (comme dans tcpdump), utilisée dans le champ Capture Filter avant démarrage de la capture.

ObjectifFiltre BPF
Trafic TCP uniquementtcp
Trafic sur le port 80port 80
IP source 192.168.1.10src host 192.168.1.10
Trafic ICMPicmp

7. contains – Recherche simple

Utilité : Chercher une chaîne de texte exacte dans un champ (sensible à la casse).

8. matches – Recherche avancée avec regex

Utilité : Utiliser des expressions régulières (regex) pour faire des recherches complexes.

9. Comparaison entre contains et matches

Critèrecontainsmatches
Sensible à la casse✅ Oui❌ Non (avec (?i))
Supporte regex❌ Non✅ Oui
Facilité✅ Très simple🔸 Besoin de regex
Flexibilité❌ Limitée✅ Très puissante

10. Filtres utiles à mémoriser

ButFiltre
URI contenant "login"http.request.uri contains "login"
Mot "admin" (insensible à la casse)ftp.request.arg matches "(?i)admin"
Mot commençant par "me" + 1-3 lettres + "r"ftp.request.arg matches "me.{1,3}r"
Contenu "chat" ou "chient"frame matches "(?i)(chat|chient)"
Méthode POST HTTP (non sensible à la casse)http.request.method matches "(?i)POST"

11. Fonctions avancées à connaître

🎨 Coloration des paquets

📊 Statistiques utiles

🔐 Déchiffrer TLS

🧠 Expert Infos

🔁 Suivre les flux

🕵️‍♂️ Détection de beaconing

Haut de page