Wireshark et tshark
Investigation de trafic malveillant
Capture, filtres, reconstruction de flux et analyse réseau orientée incidents.
Workflow
- identifier les conversations et principaux talkers ;
- isoler l'hôte suspect ;
- construire une chronologie DNS → connexion → requête → transfert ;
- extraire les indicateurs ;
- rechercher le même comportement dans le SIEM ;
- conserver le PCAP et les exports avec leurs hashes.
Filtres utiles
# Scans SYN
tcp.flags.syn == 1 and tcp.flags.ack == 0
# Réinitialisations
tcp.flags.reset == 1
# Retransmissions
tcp.analysis.retransmission
# SMB
smb2
# Kerberos
kerberos
# ICMP inhabituel
icmp and data.len > 100
Statistiques en ligne de commande
tshark -r capture.pcapng -q -z endpoints,ip
tshark -r capture.pcapng -q -z conv,tcp
tshark -r capture.pcapng -q -z io,stat,60
Reconstruction d'un flux
# Afficher le flux TCP 7 en ASCII
tshark -r capture.pcapng -q -z follow,tcp,ascii,7
Indicateurs à exporter
- IP et ports ;
- domaines et sous-domaines ;
- URI, User-Agent et Host ;
- certificats et empreintes ;
- hashes des objets ;
- heure de début/fin et volume.
Scénario — Téléchargement PowerShell
Un poste résout un domaine nouveau, établit une session TLS puis exécute PowerShell. Le PCAP peut confirmer la destination et le volume, mais le contenu TLS nécessite des clés de session ou une autre télémétrie. Corrèle avec proxy, EDR et logs PowerShell.