Blue Team Field NotesDFIR · SOC · Vulnerability Management
Wireshark et tshark

DNS, HTTP et TLS

Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.

DNS

dns.flags.response == 0
dns.qry.name contains "example"
dns.flags.rcode != 0
dns.qry.type == 1 or dns.qry.type == 28
dns.resp.ttl < 60

Signaux : volume anormal, sous-domaines longs, forte entropie, NXDOMAIN répétés, domaines récemment observés.

HTTP

http.request
http.request.method == "POST"
http.response.code >= 400
http.host == "example.org"
http.request.uri contains ".exe"

Extraire les objets HTTP

Dans l'interface : File → Export Objects → HTTP. Vérifie ensuite les hashes et traite les fichiers comme potentiellement malveillants.

TLS

tls.handshake.type == 1
tls.handshake.type == 11
tls.handshake.extensions_server_name
tls.alert_message
tls.handshake.version

Analyse : SNI, certificat, émetteur, dates, JA3/JA4 si disponible, fréquence des sessions et volume transféré.

tshark ciblé

tshark -r capture.pcapng -Y 'dns.flags.response == 0'   -T fields -e frame.time_epoch -e ip.src -e dns.qry.name

tshark -r capture.pcapng -Y 'http.request'   -T fields -e ip.src -e http.request.method -e http.host -e http.request.uri
À retenir

Un certificat autosigné ou un SNI absent n'est pas automatiquement malveillant. Le contexte, la destination et le comportement sont indispensables.

Références officielles