À quoi sert Wireshark ?

Wireshark est utilisé pour l'analyse du trafic réseau, l'investigation de sécurité et le dépannage. Les professionnels de sécurité l'utilisent pour investiguer les incidents en examinant le trafic de commande et contrôle, détecter les communications de malwares, analyser les attaques réseau dans les captures de paquets et valider l'efficacité des outils de sécurité. Il est aussi essentiel pour apprendre les fondamentaux du réseau en voyant comment les protocoles TCP, HTTP et DNS fonctionnent au niveau des paquets.

Wireshark est-il légal à utiliser ?

Wireshark est un logiciel parfaitement légal, gratuit et open source. Cependant, capturer du trafic réseau peut avoir des implications légales selon le contexte. Capturer votre propre trafic ou celui des réseaux que vous administrez est généralement légal. Capturer le trafic d'autrui sans autorisation peut violer les lois sur les écoutes. Obtenez toujours une autorisation écrite avant de capturer du trafic sur les réseaux d'entreprise.

Quels sont les filtres d'affichage Wireshark les plus utiles ?

Les filtres essentiels incluent : ip.addr == 10.0.0.1 (trafic vers/depuis une IP), tcp.port == 443 (trafic HTTPS), http.request (requêtes HTTP uniquement), dns (tout le trafic DNS), tcp.flags.syn == 1 && tcp.flags.ack == 0 (nouvelles connexions TCP), frame contains "password" (paquets contenant une chaîne), tcp.analysis.retransmission (retransmissions) et tls.handshake (négociation TLS). Combinez avec && (et), || (ou) et ! (non).

Comment commencer à apprendre Wireshark ?

Commencez par installer Wireshark (gratuit sur wireshark.org) et capturer votre propre trafic en naviguant sur le web. Apprenez les filtres d'affichage basiques pour isoler des protocoles. Étudiez la vue à trois panneaux : liste des paquets, détails et octets. Pratiquez avec des captures d'exemple de la wiki Wireshark ou malware-traffic-analysis.net. Jalons clés : comprendre le three-way handshake TCP, suivre une conversation HTTP, analyser une requête DNS et identifier un handshake TLS.

Wireshark : Guide de l'Analyseur de Protocoles

Pourquoi c'est Important

Wireshark est l'outil essentiel pour comprendre les communications reseau au niveau des paquets. Quand des incidents de securite se produisent, les logs vous disent ce qui s'est passe, mais les captures de paquets revelent exactement comment. Cette granularite est inestimable pour l'analyse forensic, l'investigation de malwares et la comprehension des techniques d'attaque.

Le depannage reseau beneficie egalement de l'analyse de paquets. Quand les applications se comportent de maniere inattendue, les paquets revelent si le probleme vient du reseau, du serveur ou du client. Comprendre les handshakes TCP, le comportement des protocoles et le timing aide a diagnostiquer les problemes que la surveillance de haut niveau manque.

Pour les professionnels de la securite, la maitrise de Wireshark est fondamentale. Les testeurs de penetration analysent les identifiants captures et le trafic de reconnaissance. Les repondeurs aux incidents examinent les communications de commande et controle. Les ingenieurs securite reseau depannent et valident les outils de securite.

Premiers Pas avec Wireshark

Vue d'Ensemble de l'Interface

Interface Wireshark

Barre de Menu et Outils

Barre de Filtre (Filtres d'Affichage)

Liste des Paquets (Tous les Paquets Captures)

Details du Paquet (Decomposition par Protocole)

Octets du Paquet (Donnees Hex Brutes)

Capture de Trafic

capture-basics.sh

Bash


# Demarrer Wireshark sur une interface specifique
wireshark -i eth0

# Capture en ligne de commande avec tshark
tshark -i eth0 -w capture.pcap

# Capture avec filtre (HTTP uniquement)
tshark -i eth0 -f "port 80" -w http_traffic.pcap

# Capture pour une duree specifique
timeout 60 tshark -i eth0 -w one_minute.pcap

Filtres de Capture vs Filtres d'Affichage

filter-types.txt

Text


Filtres de Capture (syntaxe BPF) - Appliques pendant la capture :
host 192.168.1.100
port 443
tcp and port 80
not broadcast

Filtres d'Affichage (syntaxe Wireshark) - Appliques aux donnees capturees :
ip.addr == 192.168.1.100
tcp.port == 443
http.request.method == "GET"
dns.flags.response == 0

Filtres d'Affichage Essentiels

Filtres de Protocole

protocol-filters.txt

Text


Filtres de Protocole Basiques :

# Filtrer par protocole
http
dns
tcp
udp
icmp
tls
ssh

# HTTP specifique
http.request
http.response
http.request.method == "POST"
http.response.code == 200
http.host contains "example.com"

# DNS specifique
dns
dns.flags.response == 0  # Requetes uniquement
dns.flags.response == 1  # Reponses uniquement
dns.qry.name contains "suspect"

# TLS/SSL
tls.handshake
tls.handshake.type == 1  # Client Hello
tls.handshake.extensions_server_name

Filtres IP et Port

ip-port-filters.txt

Text


Filtres d'Adresse IP :
ip.addr == 192.168.1.100        # Source ou destination
ip.src == 192.168.1.100         # Source uniquement
ip.dst == 192.168.1.100         # Destination uniquement
ip.addr == 192.168.1.0/24       # Sous-reseau

Filtres de Port :
tcp.port == 443                 # Source ou destination
tcp.dstport == 80               # Destination uniquement
tcp.srcport == 53               # Source uniquement
udp.port == 53

Filtres Combines :
ip.addr == 192.168.1.100 && tcp.port == 443
http && ip.src == 10.0.0.5
(dns || http) && ip.addr == 192.168.1.100

Filtres Axes sur la Securite

security-filters.txt

Text


Filtres d'Analyse de Securite :

# Connexions TCP echouees (flags RST)
tcp.flags.reset == 1

# SYN sans ACK (scan potentiel)
tcp.flags.syn == 1 && tcp.flags.ack == 0

# DNS suspect (noms d'hotes longs, TLDs inhabituels)
dns && dns.qry.name contains ".xyz"

# HTTP avec SQLi potentiel
http.request.uri contains "UNION"
http.request.uri contains "SELECT"

# Identifiants en clair
http.authorization
ftp.request.command == "PASS"

# Gros transferts de donnees
tcp.len > 10000

Techniques d'Analyse

Suivre les Flux

Clic droit sur un paquet et selectionnez "Suivre > Flux TCP" pour reconstruire les conversations completes.

stream-analysis.txt

Text


Suivi de Flux :
- Flux TCP : Conversation TCP complete
- Flux UDP : Paquets UDP relies
- Flux TLS : TLS dechiffre (necessite les cles)
- Flux HTTP : Paires requete/reponse HTTP

Cas d'Utilisation :
- Reconstruire les fichiers telecharges
- Voir les conversations HTTP completes
- Analyser le trafic de commande et controle
- Extraire les identifiants des protocoles en clair

Statistiques et Analyse

statistics-features.txt

Text


Fonctionnalites Statistiques Utiles :

Statistiques > Conversations
- Voir toutes les conversations IP/TCP/UDP
- Identifier les plus gros communicants
- Trier par octets transferes

Statistiques > Hierarchie des Protocoles
- Repartition des protocoles dans la capture
- Identifier les protocoles inattendus

Statistiques > Endpoints
- Tous les hotes communicants
- Volume de trafic par hote

Statistiques > HTTP > Requetes
- Toutes les requetes HTTP dans la capture
- Apercu rapide des URLs

Analyser > Info Expert
- Avertissements et erreurs
- Retransmissions, resets
- Violations de protocole

Extraction de Donnees

data-extraction.txt

Text


Exporter Objets (Fichier > Exporter Objets) :
- HTTP : Fichiers telecharges, images, documents
- SMB : Partages de fichiers Windows
- IMF : Messages email
- TFTP : Fichiers transferes

Extraction Manuelle :
- Suivre le flux > Enregistrer en brut
- Fichier > Exporter Octets du Paquet
- Utiliser tshark pour extraction automatisee

Cas d'Utilisation Securite

Investigation d'Incident

incident-workflow.txt

Text


Workflow d'Investigation d'Incident :

1. Cadrer la Periode
 - Filtrer a la fenetre temporelle pertinente
 - Identifier les hotes impliques

2. Identifier le Trafic C2
 - Chercher les patterns de beaconing
 - Verifier le DNS pour le tunneling
 - Examiner les ports/protocoles inhabituels

3. Tracer le Mouvement Lateral
 - Connexions SMB/RDP
 - Trafic d'authentification
 - Execution distante (WMI, PSExec)

4. Trouver l'Exfiltration de Donnees
 - Gros transferts sortants
 - Tunnels chiffres
 - Uploads vers stockage cloud

5. Extraire les IOC
 - IP/domaines destination
 - User agents
 - Hash de fichiers des transferts

Pertinence pour la Carriere

Les competences d'analyse de paquets distinguent les professionnels de securite competents. Alors que les outils GUI simplifient les taches courantes, comprendre le trafic reseau au niveau des paquets permet une analyse et un depannage plus profonds.

Roles Utilisant l'Analyse de Paquets (Marche US)

Role	Entry Level	Mid Level	Senior
Analyste Securite Reseau	65 000 $US	90 000 $US	120 000 $US
Repondeur aux Incidents	75 000 $US	100 000 $US	135 000 $US
Testeur de Penetration	80 000 $US	110 000 $US	145 000 $US
Analyste Forensic	75 000 $US	100 000 $US	135 000 $US

Source: CyberSeek

Dans le Bootcamp

Comment nous enseignons Wireshark

Dans notre programme de cybersécurité, vous n'apprendrez pas seulement Wireshark en théorie — vous pratiquerez avec de vrais outils dans des travaux pratiques, guidé par des professionnels du secteur qui utilisent ces concepts quotidiennement.

Couvert dans :

Module 5: Gouvernance de la Sécurité, Risque et Conformité (GRC)

Sujets connexes que vous maîtriserez :NIST CSFISO 27001RGPD/NIS2Gestion des Risques

Voir comment nous enseignons cela

360+ heures de formation par des experts • 94% de taux d'emploi

Blog

Guides de Carrière

Glossaire

Certifications

Comparatifs

Outils

Auteurs

Formation entreprise

Recrutez Nos Talents

Wireshark

Pourquoi c'est Important

Premiers Pas avec Wireshark

Vue d'Ensemble de l'Interface

Capture de Trafic

Filtres de Capture vs Filtres d'Affichage

Filtres d'Affichage Essentiels

Filtres de Protocole

Filtres IP et Port

Filtres Axes sur la Securite

Techniques d'Analyse

Suivre les Flux

Statistiques et Analyse

Extraction de Donnees

Cas d'Utilisation Securite

Investigation d'Incident

Pertinence pour la Carriere

Roles Utilisant l'Analyse de Paquets (Marche US)

Comment nous enseignons Wireshark