LabEx
Se connecterInscription gratuite

Quête de maîtrise des filtres cyber

CybersecurityCybersecurityBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce laboratoire (lab), vous apprendrez à utiliser les filtres de capture Wireshark pour capturer de manière sélective le trafic réseau en fonction de critères spécifiques. Les filtres de capture sont des outils puissants qui vous permettent de vous concentrer sur les données pertinentes et d'éliminer le trafic non pertinent, rendant votre analyse plus efficace. Vous explorerez diverses expressions de filtre de capture et les appliquerez à des scénarios réels, améliorant ainsi vos compétences en résolution de problèmes réseau et en analyse de sécurité.

Comprendre la syntaxe des filtres de capture

Dans cette étape, vous apprendrez la syntaxe de base pour créer des filtres de capture dans Wireshark.

PS : Le filtre de capture n'est PAS un filtre d'affichage

Syntaxe du filtre de capture Wireshark

Les filtres de capture dans Wireshark utilisent une syntaxe spécifique basée sur le langage de filtre libpcap. Voici quelques éléments courants :

  • host : Filtre le trafic en fonction de l'adresse IP ou du nom d'hôte. Par exemple, host 192.168.0.2 capture le trafic vers ou depuis l'adresse IP spécifiée.
  • net : Filtre le trafic en fonction d'une adresse réseau et d'un masque de sous-réseau. Par exemple, net 10.0.0.0/24 capture le trafic provenant du réseau 10.0.0.0/24.
  • port : Filtre le trafic en fonction du numéro de port. Par exemple, port 80 capture le trafic HTTP.
  • protocol : Filtre le trafic en fonction du protocole. Par exemple, tcp capture le trafic TCP, et udp capture le trafic UDP.

Vous pouvez combiner ces éléments en utilisant des opérateurs logiques tels que and, or et not.

Ouvrez Wireshark sur votre machine Linux en exécutant la commande wireshark dans le terminal.

Remplissez la zone de filtre avec tcp pour capturer uniquement les paquets TCP. Choisissez l'interface any et cliquez sur Start pour commencer à capturer les paquets avec le filtre spécifié appliqué.

Filtre de capture

Arrêtez la capture des paquets après quelques secondes en cliquant sur le bouton rouge Stop et enregistrez les paquets capturés dans un fichier nommé step1.pcapng dans le répertoire /home/labex/project.

Enregistrer les paquets capturés

Appliquer des filtres de capture dans Wireshark

Dans cette étape, vous apprendrez à appliquer des filtres de capture dans Wireshark et à capturer un trafic réseau spécifique.

  1. Vous pouvez revenir à la page d'accueil en cliquant sur le bouton Close this capture file dans Wireshark.
Fermer ce fichier de capture
  1. Avant de commencer une nouvelle capture, vous pouvez définir un filtre de capture en accédant à la boîte de dialogue Capture Options. Cliquez sur la zone Capture Filter et entrez l'expression de filtre souhaitée.

Filtre de capture
Filtre de capture

  1. Choisissez l'interface any et sélectionnez un filtre parmi les signets enregistrés.
Filtre de capture

Vous pouvez utiliser le filtre port 80 pour capturer le trafic sur le port 80, qui est couramment utilisé pour le protocole HTTP.

Filtre de capture

  1. Wireshark ne capturera désormais que les paquets correspondant à votre expression de filtre, ce qui facilitera l'analyse du trafic pertinent.

  2. Après avoir lancé la capture, ouvrez un nouveau terminal et exécutez un script bash pour générer un trafic simulé.

    Accédez au répertoire du projet en exécutant la commande suivante :

    cd /home/labex/project

    Exécutez le script bash en exécutant la commande suivante :

    ./simulate_traffic.sh

    Exemple de sortie :

    labex:project/ $./simulate_traffic.sh
Netcat server listening on port 80...
Sending data to port 80...
Hello, Wireshark!
Please check the Wireshark output for the data sent to port 80.

  3. Revenez dans Wireshark, vous devriez voir les paquets capturés correspondant à votre expression de filtre. Analysez le trafic pour identifier les paquets HTTP capturés par le filtre.

Capture du port 80
  1. Cliquez sur le bouton rouge Stop pour arrêter la capture des paquets et enregistrez les paquets capturés dans un fichier nommé step2.pcapng dans le répertoire /home/labex/project.

Analyser le trafic capturé avec des filtres d'affichage

Dans cette étape, vous apprendrez à utiliser les filtres d'affichage pour analyser un trafic réseau spécifique après avoir capturé des paquets dans Wireshark.

  1. Ouvrez le fichier step2.pcapng dans Wireshark.

  2. Accédez à la barre d'outils Display Filter et entrez une expression de filtre de capture. Par exemple, entrez http pour afficher uniquement le trafic HTTP.

  3. Wireshark appliquera le filtre et affichera uniquement les paquets qui correspondent aux critères spécifiés.

  4. Vous pouvez affiner votre analyse en ajoutant des filtres plus spécifiques. Par exemple, frame contains "Wireshark" affichera uniquement les paquets qui contiennent la chaîne de caractères "Wireshark".

Filtre d'affichage
  1. Ouvrez un terminal et écrivez le nombre de paquets correspondant à l'expression de filtre dans le fichier report.txt.
Enregistrer le rapport

Dans ce cas, le nombre de paquets correspondant à l'expression de filtre est 4.

echo "Number of packets matching the filter expression: 4" > /home/labex/project/report.txt

Résumé

Dans ce laboratoire (lab), vous avez appris à utiliser les filtres de capture Wireshark pour capturer et analyser de manière sélective le trafic réseau en fonction de critères spécifiques. Vous avez exploré la syntaxe pour créer des filtres de capture, appliqué des filtres lors de captures en direct et analysé le trafic capturé à l'aide de filtres d'affichage. En maîtrisant les filtres de capture, vous pouvez rationaliser vos flux de travail de résolution de problèmes réseau et d'analyse de sécurité, en vous concentrant sur les données les plus pertinentes et en ignorant le trafic non pertinent. Cette compétence est essentielle pour les professionnels de la cybersécurité, les administrateurs réseau et toute personne travaillant avec des outils d'analyse de réseau comme Wireshark.

Connexe Cybersecurity Cours
Sécurité informatique avec des laboratoires pratiques

Sécurité informatique avec des laboratoires pratiques

CybersecurityLinux
Débutant
Démarrage rapide avec Nmap

Démarrage rapide avec Nmap

Cybersecurity
Débutant
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant

We use cookies for a number of reasons, such as keeping the website reliable and secure, to improve your experience on our website and to see how you interact with it. By accepting, you agree to our use of such cookies. Privacy Policy