Wireshark et tshark
DNS, HTTP et TLS
Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.
DNS
dns.flags.response == 0
dns.qry.name contains "example"
dns.flags.rcode != 0
dns.qry.type == 1 or dns.qry.type == 28
dns.resp.ttl < 60
Signaux : volume anormal, sous-domaines longs, forte entropie, NXDOMAIN répétés, domaines récemment observés.
HTTP
http.request
http.request.method == "POST"
http.response.code >= 400
http.host == "example.org"
http.request.uri contains ".exe"
Extraire les objets HTTP
Dans l'interface : File → Export Objects → HTTP. Vérifie ensuite les hashes et traite les fichiers comme potentiellement malveillants.
TLS
tls.handshake.type == 1
tls.handshake.type == 11
tls.handshake.extensions_server_name
tls.alert_message
tls.handshake.version
Analyse : SNI, certificat, émetteur, dates, JA3/JA4 si disponible, fréquence des sessions et volume transféré.
tshark ciblé
tshark -r capture.pcapng -Y 'dns.flags.response == 0' -T fields -e frame.time_epoch -e ip.src -e dns.qry.name
tshark -r capture.pcapng -Y 'http.request' -T fields -e ip.src -e http.request.method -e http.host -e http.request.uri
À retenir
Un certificat autosigné ou un SNI absent n'est pas automatiquement malveillant. Le contexte, la destination et le comportement sont indispensables.