Retour au cours

Wireshark II : Filtres et suivi de flux

Maîtrise de la Cybersécurité : de Zéro à Héros

Analyser un trafic massif

Wireshark capture souvent des milliers de paquets par seconde. Vous devez utiliser des filtres pour trouver l'aiguille dans la botte de foin.

1. Filtres de capture (Avant la capture)

Les filtres de capture (syntaxe BPF) limitent les données écrites sur le disque, réduisant ainsi la taille du fichier.

  • Exemple : Capturer uniquement le trafic destiné au port TCP 80 :

tcp port 80

2. Filtres d'affichage (Après la capture)

Les filtres d'affichage sont appliqués aux données capturées pour montrer rapidement les paquets pertinents.

  • Exemple : Afficher tous les paquets HTTP contenant le mot 'password' :

http and data contains "password"

Suivre les flux TCP/UDP

Cette fonction cruciale permet de réassembler la conversation entre deux hôtes. Faites un clic droit sur un paquet, sélectionnez « Follow », puis « TCP Stream ». Wireshark affichera le texte complet de la session, facilitant le repérage des requêtes HTTP ou des tentatives de connexion.