Blue Team Field NotesDFIR · SOC · Vulnerability Management
Wireshark et tshark

Capture et filtres

Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.

Capture ou affichage

Exemples de capture BPF

host 192.0.2.10
net 10.0.0.0/8
port 53
(tcp port 80 or tcp port 443) and host 192.0.2.10

Exemples de filtres d'affichage

ip.addr == 192.0.2.10
tcp.port == 443
dns
http.request
ip.src == 192.0.2.10 and tcp.flags.syn == 1 and tcp.flags.ack == 0

Capture avec dumpcap/tshark

# Interfaces disponibles
tshark -D

# Rotation de fichiers de 100 Mo, maximum 20 fichiers
sudo dumpcap -i eth0 -b filesize:102400 -b files:20 -w capture.pcapng

# Capture filtrée DNS
tshark -i eth0 -f 'udp port 53' -w dns.pcapng

Préservation

capinfos capture.pcapng
sha256sum capture.pcapng
Conseil opérationnel

Pour un incident long, utilise une capture circulaire et synchronise l'horloge. Une capture illimitée peut saturer le disque et provoquer un incident supplémentaire.

Références officielles