Wireshark et tshark
Capture et filtres
Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.
Capture ou affichage
- Capture filter : limite ce qui est enregistré, syntaxe BPF.
- Display filter : filtre après capture, syntaxe Wireshark.
Exemples de capture BPF
host 192.0.2.10
net 10.0.0.0/8
port 53
(tcp port 80 or tcp port 443) and host 192.0.2.10
Exemples de filtres d'affichage
ip.addr == 192.0.2.10
tcp.port == 443
dns
http.request
ip.src == 192.0.2.10 and tcp.flags.syn == 1 and tcp.flags.ack == 0
Capture avec dumpcap/tshark
# Interfaces disponibles
tshark -D
# Rotation de fichiers de 100 Mo, maximum 20 fichiers
sudo dumpcap -i eth0 -b filesize:102400 -b files:20 -w capture.pcapng
# Capture filtrée DNS
tshark -i eth0 -f 'udp port 53' -w dns.pcapng
Préservation
capinfos capture.pcapng
sha256sum capture.pcapng
Conseil opérationnel
Pour un incident long, utilise une capture circulaire et synchronise l'horloge. Une capture illimitée peut saturer le disque et provoquer un incident supplémentaire.