Fondamentaux
Wireshark et tcpdump
Wireshark et tcpdump servent à observer le trafic réseau. Ils permettent de comprendre ce qui circule réellement : DNS, TCP, TLS, HTTP, erreurs, ports, flux et volumes.
Deux outils complémentaires
| Outil | Usage |
|---|---|
| Wireshark | Analyse graphique détaillée |
| tcpdump | Capture rapide en ligne de commande |
tcpdump est pratique sur serveur. Wireshark est confortable pour relire une capture, filtrer et suivre les conversations.
Capture avec tcpdump
Capturer tout le trafic sur une interface :
sudo tcpdump -i eth0
Capturer avec une sortie dans un fichier :
sudo tcpdump -i eth0 -w capture.pcap
Limiter à un hôte :
sudo tcpdump -i any host 1.1.1.1
Limiter à un port :
sudo tcpdump -i any port 443
Filtres utiles
tcpdump -i any tcp
tcpdump -i any udp
tcpdump -i any port 53
tcpdump -i any net 192.168.1.0/24
Ces filtres réduisent le bruit et évitent de capturer trop de données.
Lecture dans Wireshark
Dans Wireshark, les filtres d'affichage les plus utiles sont :
dns
http
tcp
udp
ip.addr == 192.168.1.10
tcp.port == 443
On peut aussi suivre une conversation TCP pour comprendre l'ordre des échanges.
Points à observer
- résolution DNS
- établissement TCP
- erreurs ou retransmissions
- ports contactés
- volume inhabituel
- destinations inconnues
- requêtes répétitives
- certificats ou erreurs TLS
Données sensibles
Une capture réseau peut contenir des données personnelles, tokens, cookies ou informations internes. Il faut la stocker, partager et supprimer avec prudence.
Méthode simple
- Identifier la machine source
- Filtrer sur l'adresse ou le port
- Regarder le DNS
- Vérifier l'établissement TCP
- Observer les erreurs
- Corréler avec les journaux système ou applicatifs
À retenir
Une capture réseau aide à passer des suppositions aux faits. Elle montre qui parle, vers où, comment, quand et avec quel résultat.