Retour au cours

Wireshark III : Analyser les protocoles courants (HTTP, DNS)

Maîtrise de la Cybersécurité : de Zéro à Héros

Analyse par protocole

HTTP (Hypertext Transfer Protocol)

Comme le HTTP circule en clair (non chiffré), Wireshark révèle tout, y compris les cookies, les données POST (formulaires de connexion) et les en-têtes.

  • Filtre d'affichage : http
  • Analyse : Cherchez des informations sensibles soumises via des connexions non chiffrées (ex : identifiants envoyés en HTTP au lieu de HTTPS).

DNS (Domain Name System)

Le DNS utilise généralement le port UDP 53.

  • Filtre d'affichage : dns
  • Analyse : Les requêtes DNS peuvent servir à l'exfiltration de données (DNS tunneling). Un analyste peut chercher des noms de domaine inhabituels ou des réponses anormalement volumineuses.

Analyser les identifiants

Utilisez des filtres pour identifier les protocoles d'authentification courants :

  • ftp (transmet souvent les mots de passe en clair)
  • telnet (transmet tout en clair)

Note défensive : La seule défense fiable contre le sniffing de mots de passe est un chiffrement robuste (SSL/TLS).