Dans ce laboratoire, vous apprendrez à utiliser les filtres d'affichage de Wireshark pour analyser le trafic réseau et identifier les menaces de sécurité potentielles. Wireshark, un puissant analyseur de protocoles réseau, peut capturer et disséquer les paquets réseau, ce qui est crucial pour les professionnels de la cybersécurité.
En maîtrisant ces filtres, vous serez en mesure d'isoler et d'examiner rapidement des types de trafic spécifiques. Cela rationalise votre analyse et renforce votre capacité à détecter et à gérer les incidents de sécurité.
Skills Graph
%%%%{init: {'theme':'neutral'}}%%%%
flowchart RL
wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"])
wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview")
wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture")
wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters")
wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets")
wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis")
wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage")
subgraph Lab Skills
wireshark/interface -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
wireshark/packet_capture -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
wireshark/display_filters -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
wireshark/export_packets -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
wireshark/packet_analysis -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
wireshark/commandline_usage -.-> lab-415944{{"Analyser le trafic réseau avec les filtres d'affichage Wireshark"}}
end
Démarrage de Wireshark et analyse du trafic réseau
Dans cette étape, nous allons commencer à utiliser Wireshark. Tout d'abord, vous apprendrez à le lancer. Ensuite, vous capturerez le trafic réseau ou utiliserez un fichier d'exemple fourni pour l'analyse. Comprendre l'interface de Wireshark est crucial car cela vous aide à visualiser et à analyser les données des paquets.
Lancement de Wireshark
Pour démarrer Wireshark, vous devez ouvrir une fenêtre de terminal. Vous pouvez le faire en cliquant sur l'icône du terminal dans la barre des tâches ou en appuyant sur Ctrl+Alt+T. Une fois le terminal ouvert, vous utiliserez une commande pour démarrer Wireshark. Dans le terminal, tapez la commande suivante et appuyez sur Entrée :
wireshark
Cette commande indique à votre système de démarrer l'application Wireshark. Après quelques secondes, Wireshark s'ouvrira. Vous devriez voir une fenêtre similaire à celle illustrée ci-dessous :
Travailler avec des fichiers de capture réseau
Pour ce laboratoire, vous avez deux options :
Option 1 : Utiliser le fichier d'exemple fourni
Un fichier de capture d'exemple a été préparé pour vous à l'adresse /home/labex/project/sample.pcapng. Ce fichier contient une variété de trafic réseau que vous pouvez analyser. Pour ouvrir ce fichier :
Dans Wireshark, allez dans Fichier > Ouvrir (File > Open)
Naviguez jusqu'à /home/labex/project/sample.pcapng
Cliquez sur « Ouvrir » (Click "Open")
Le fichier se chargera dans Wireshark, affichant divers paquets qui ont été capturés précédemment.
Option 2 : Capturer votre propre trafic
Si vous préférez capturer votre propre trafic :
Dans la fenêtre principale de Wireshark, recherchez la liste des interfaces réseau disponibles.
Trouvez l'interface eth1. Dans cet environnement de laboratoire, eth1 est l'interface réseau principale que nous utiliserons pour capturer les paquets.
Double-cliquez sur eth1. Cette action démarre immédiatement le processus de capture de paquets.
Générez du trafic réseau en ouvrant un nouveau terminal et en exécutant :
curl www.google.com
Note: Free users can not connect to the internet. Upgrade to a pro to capture your own traffic.
Une fois que vous avez capturé suffisamment de paquets (visez au moins 20 à 30 paquets), cliquez sur le bouton carré rouge « Arrêter » (Stop) dans la barre d'outils de Wireshark.
Comprendre l'interface de Wireshark
L'interface de Wireshark est divisée en trois panneaux principaux, chacun ayant un objectif spécifique :
Liste des paquets (Packet List) (panneau supérieur) : ce panneau affiche tous les paquets qui ont été capturés dans l'ordre où ils ont été reçus. Il vous donne un aperçu rapide du trafic capturé.
Détails des paquets (Packet Details) (panneau central) : lorsque vous sélectionnez un paquet dans le panneau supérieur, ce panneau central affiche les détails de ce paquet dans un format hiérarchique. Il décompose la structure du paquet, affichant des informations telles que les adresses IP source et de destination, les types de protocole, etc.
Octets du paquet (Packet Bytes) (panneau inférieur) : ce panneau affiche les octets bruts du paquet sélectionné au format hexadécimal. Il est utile pour une analyse approfondie, en particulier lorsque vous devez examiner les données exactes transmises.
Pour voir comment ces panneaux fonctionnent ensemble, cliquez sur différents paquets dans le panneau supérieur. Vous verrez les détails correspondants et les octets bruts se mettre à jour dans les panneaux central et inférieur.
Comprendre et appliquer les filtres d'affichage de base
Dans cette étape, nous allons explorer les filtres d'affichage dans Wireshark. Les filtres d'affichage sont des outils essentiels pour analyser le trafic réseau. Ils vous aident à vous concentrer sur des types de paquets spécifiques au lieu de devoir passer au crible toutes les données capturées. À la fin de cette section, vous saurez ce que sont les filtres d'affichage, pourquoi ils sont utiles et comment appliquer des filtres de base pour isoler des types spécifiques de trafic réseau.
Que sont les filtres d'affichage ?
Lorsque vous analysez le trafic réseau, l'examen de chaque paquet capturé peut être accablant. Vous souhaitez généralement vous concentrer sur des types de paquets spécifiques. C'est là que les filtres d'affichage de Wireshark entrent en jeu. Ils vous permettent d'afficher uniquement les paquets qui répondent à certains critères. Cela rend le processus d'analyse beaucoup plus efficace, car vous ne perdez pas de temps sur des données non pertinentes.
Les filtres d'affichage dans Wireshark utilisent une syntaxe spéciale. Cette syntaxe vous permet de filtrer les paquets en fonction de divers attributs tels que les protocoles, les adresses IP, les ports et même le contenu des paquets. Comprendre cette syntaxe est essentiel pour utiliser efficacement les filtres d'affichage.
Barre d'outils de filtre (Filter Toolbar)
Jetez un coup d'œil en haut de la fenêtre Wireshark. Vous remarquerez un champ de texte. Il peut être intitulé « Appliquer un filtre d'affichage... » (Apply a display filter...) ou simplement afficher « Expression... ». C'est l'endroit où vous entrerez vos filtres d'affichage. Une fois que vous avez entré un filtre et appuyé sur Entrée, Wireshark utilisera ce filtre pour afficher uniquement les paquets pertinents.
Filtres de protocole de base (Basic Protocol Filters)
Commençons par un exemple simple. Supposons que vous souhaitiez afficher uniquement le trafic HTTP. HTTP est le protocole utilisé pour la navigation Web. Pour ce faire, vous entrerez un filtre dans la barre d'outils de filtre. Tapez le filtre suivant, puis appuyez sur Entrée :
http
Après avoir appliqué ce filtre, Wireshark affichera uniquement les paquets HTTP. Tous les autres paquets seront temporairement masqués. Vous remarquerez que la barre de filtre devient verte lorsque vous appliquez un filtre valide. C'est une indication visuelle que votre filtre fonctionne correctement.
La sortie devrait maintenant afficher uniquement les paquets liés au trafic HTTP. Cela inclut généralement les requêtes Web (lorsque vous demandez des informations à un site Web) et les réponses (lorsque le site Web vous envoie les informations). Si vous ne voyez aucun trafic HTTP dans le fichier d'exemple, vous pouvez essayer différents protocoles qui pourraient être présents, tels que TCP, UDP ou DNS :
tcp
Ou essayez de générer plus de trafic HTTP en exécutant la commande curl dans un terminal :
curl www.google.com
Filtres d'adresse IP (IP Address Filters)
Ensuite, filtrons le trafic en fonction des adresses IP. Une adresse IP est comme un identifiant unique pour un appareil sur un réseau. Tout d'abord, regardez votre liste de paquets. Vous verrez des colonnes intitulées « Source » et « Destination ». Ces colonnes affichent les adresses IP des appareils qui envoient et reçoivent les paquets.
Une fois que vous avez identifié une adresse IP qui apparaît fréquemment dans votre capture (par exemple, disons que vous voyez 192.168.1.1), vous pouvez l'utiliser pour créer un filtre. Tapez le filtre suivant dans la barre d'outils de filtre pour afficher uniquement les paquets de cette source :
ip.src == 192.168.3.131
Vous pouvez remplacer 192.168.3.131 par une adresse IP que vous voyez réellement dans votre capture. Après avoir appliqué ce filtre, seuls les paquets avec cette adresse IP source seront affichés.
Si vous souhaitez revoir tous les paquets, vous pouvez effacer le filtre actuel. Cliquez simplement sur le bouton « Effacer » (Clear) (X) sur le côté droit de la barre de filtre.
Filtres de port (Port Filters)
De nombreux services réseau fonctionnent sur des ports spécifiques. Un port est comme une porte sur un appareil qui permet à des types spécifiques de trafic réseau d'entrer ou de sortir. Par exemple, HTTP utilise généralement le port 80. Pour filtrer les paquets par numéro de port, vous pouvez utiliser le filtre suivant :
tcp.port == 80
Ce filtre affichera les paquets entrants et sortants qui utilisent le port TCP 80. Vous pouvez également essayer d'autres ports courants comme le 443 (HTTPS) ou le 53 (DNS) en fonction de ce qui est disponible dans votre capture.
Combiner des filtres (Combining Filters)
Vous pouvez rendre vos filtres plus puissants en les combinant à l'aide d'opérateurs logiques tels que and (et) et or (ou). Par exemple, si vous souhaitez afficher uniquement le trafic HTTP qui utilise le port 80, vous pouvez utiliser le filtre suivant :
http and tcp.port == 80
Essayez d'appliquer différentes combinaisons de filtres et observez comment les paquets affichés changent. N'oubliez pas qu'avant d'essayer un nouveau filtre, vous pouvez soit effacer le filtre précédent en cliquant sur le bouton « Effacer » (Clear), soit modifier le filtre existant directement dans la barre de filtre pour le compléter.
Techniques de filtrage avancées
Dans cette étape, nous allons explorer comment créer des filtres plus sophistiqués pour une analyse détaillée du trafic réseau. En tant que débutant, vous vous demandez peut-être pourquoi nous avons besoin d'un filtrage avancé. Eh bien, dans les scénarios réels, les fichiers de capture réseau peuvent être extrêmement volumineux, remplis de toutes sortes de trafic. Les techniques de filtrage avancées sont comme une loupe puissante pour les professionnels de la sécurité. Elles nous aident à identifier rapidement le trafic suspect ou important dans la mer de données de ces grands fichiers de capture.
Filtres complexes avec plusieurs conditions
Wireshark vous offre la possibilité de créer des filtres complexes en combinant plusieurs conditions. Ceci est très utile lorsque vous souhaitez être plus précis dans votre analyse du trafic. Commençons par créer un filtre pour trouver les requêtes HTTP GET.
http.request.method == "GET"
Ce filtre est conçu pour afficher uniquement les paquets HTTP qui contiennent des requêtes GET. Lorsque vous appliquez ce filtre, vous verrez les paquets qui sont des requêtes envoyées aux serveurs Web. La raison pour laquelle nous utilisons ce filtre est que les requêtes GET sont un type courant de requête HTTP utilisé pour récupérer des données à partir d'un serveur. En isolant ces requêtes, nous pouvons nous concentrer sur les activités de récupération de données dans le réseau.
Si votre fichier d'exemple ne contient pas de requêtes HTTP GET, essayez ce filtre alternatif pour trouver les paquets TCP SYN qui indiquent des tentatives de connexion :
tcp.flags.syn == 1
Maintenant, rendons notre filtre plus spécifique. Nous allons ajouter une condition de port.
tcp.port == 80 and http.request.method == "GET"
Ce nouveau filtre affiche uniquement les requêtes HTTP GET qui se produisent sur le port HTTP standard (80). Le port HTTP standard est largement utilisé pour le trafic Web non chiffré. En ajoutant cette condition de port, nous limitons notre recherche aux seules requêtes GET qui utilisent le canal de communication HTTP typique.
Filtrage basé sur la taille des paquets (Packet Size)
Les attaques réseau impliquent souvent des paquets de tailles inhabituelles. Les attaquants peuvent utiliser des paquets grands ou petits pour masquer des données malveillantes ou pour perturber le fonctionnement normal du réseau. Pour filtrer en fonction de la taille des paquets, nous utilisons une syntaxe spécifique.
tcp.len >= 100 and tcp.len <= 500
Ce filtre affiche les paquets TCP avec une longueur de charge utile (payload length) comprise entre 100 et 500 octets. Vous pouvez ajuster ces valeurs en fonction de vos besoins. Par exemple, si vous soupçonnez qu'une attaque implique des paquets plus volumineux, vous pouvez augmenter la limite supérieure. En filtrant en fonction de la taille des paquets, nous pouvons identifier des schémas de trafic anormaux qui pourraient indiquer une attaque.
Filtrage basé sur un contenu spécifique (Specific Content)
Vous pouvez également filtrer le trafic en fonction d'un contenu spécifique dans les paquets. Ceci est très utile lorsque vous recherchez du trafic lié à un site Web ou à un service particulier. Par exemple, trouvons le trafic HTTP lié à un site Web spécifique.
http.host contains "google"
Ce filtre affiche uniquement le trafic HTTP où l'en-tête d'hôte (host header) contient « google ». Vous pouvez remplacer « google » par n'importe quel domaine que vous souhaitez analyser. L'en-tête d'hôte dans une requête HTTP indique au serveur à quel site Web le client essaie d'accéder. En filtrant en fonction de l'en-tête d'hôte, nous pouvons nous concentrer sur le trafic lié à un domaine spécifique.
Si votre fichier d'exemple ne contient pas de trafic HTTP avec des en-têtes d'hôte, essayez ce filtre de contenu plus général :
frame contains "http"
Utilisation de l'opérateur "contains" pour la recherche de texte
L'opérateur contains est un outil pratique pour rechercher des chaînes de texte spécifiques dans les paquets. Il nous permet de rechercher certains mots-clés dans les données du paquet.
frame contains "password"
Ce filtre affiche les paquets contenant le mot « password » n'importe où dans les données du paquet. Cela peut être très utile pour détecter d'éventuels problèmes de sécurité. Par exemple, si des mots de passe sont envoyés en texte clair (ce qui est un risque de sécurité majeur), ce filtre peut nous aider à repérer ces paquets.
Ou essayez ce filtre :
frame contains "login"
Négation de filtres (Negating Filters)
Parfois, vous voudrez peut-être voir tout le trafic, à l'exception de certains types. C'est là que l'opérateur not entre en jeu.
not arp
Ce filtre masque tous les paquets ARP. ARP (Address Resolution Protocol) est utilisé pour mapper les adresses IP aux adresses MAC dans un réseau local. Parfois, le trafic ARP peut être très courant et peut encombrer votre analyse. En utilisant l'opérateur not, nous pouvons exclure ce type de trafic et nous concentrer sur d'autres paquets plus pertinents.
Enregistrement et application des signets de filtre (Filter Bookmarks)
Si vous utilisez fréquemment certains filtres, vous n'avez pas à les saisir à chaque fois. Vous pouvez les enregistrer en tant que signets. Voici comment :
Entrez un filtre dans la barre de filtre. C'est là que vous tapez les expressions de filtre que nous avons apprises.
Cliquez sur le bouton « + » sur le côté droit de la barre de filtre. Ce bouton est utilisé pour enregistrer le filtre actuel en tant que signet.
Donnez un nom à votre filtre et cliquez sur « OK ». Nommer le filtre facilite son identification ultérieure.
Une fois que vous avez enregistré votre filtre, vous pouvez l'appliquer en cliquant sur son nom dans le menu déroulant du filtre. Cela vous fait gagner du temps et des efforts, surtout lorsque vous effectuez des analyses répétées.
Exportation des paquets filtrés (Exporting Filtered Packets)
Après avoir filtré votre trafic pour afficher uniquement les paquets qui vous intéressent, vous voudrez peut-être enregistrer uniquement ces paquets dans un nouveau fichier. Ceci est utile pour partager des résultats spécifiques avec des collègues ou pour une analyse plus approfondie. Voici comment vous faites :
Appliquez le filtre souhaité. Assurez-vous d'avoir configuré le filtre pour afficher uniquement les paquets que vous souhaitez enregistrer.
Cliquez sur Fichier > Exporter les paquets spécifiés (File > Export Specified Packets). Cette option vous permet d'exporter un ensemble spécifique de paquets.
Assurez-vous que « Affiché » (Displayed) est sélectionné dans la section Plage de paquets (Packet Range). Cela garantit que seuls les paquets actuellement visibles (c'est-à-dire ceux qui correspondent à votre filtre) sont exportés.
Choisissez un nom de fichier et un emplacement. C'est là que vous décidez où enregistrer le nouveau fichier de capture et comment le nommer.
Cliquez sur « Enregistrer » (Save). Cela crée un nouveau fichier de capture contenant uniquement les paquets qui correspondent à votre filtre.
Analyse du trafic lié à la sécurité
Dans cette étape, nous allons nous concentrer sur l'utilisation des filtres Wireshark pour l'analyse de la sécurité. L'analyse de la sécurité est cruciale dans le monde de la cybersécurité, car elle nous aide à repérer les activités potentiellement malveillantes dans le trafic réseau. À la fin de cette section, vous serez en mesure d'identifier différents types de menaces de sécurité à l'aide de filtres Wireshark spécifiques.
Identification des activités de scan de ports (Port Scanning)
Le scan de ports est une technique courante utilisée par les attaquants pour recueillir des informations sur un système cible. Les attaquants l'utilisent pour trouver les ports ouverts sur un réseau, qui peuvent ensuite être exploités. Pour détecter un scan de ports potentiel, nous recherchons un grand nombre de tentatives de connexion d'une seule source vers plusieurs ports.
Utilisons un filtre spécifique pour identifier de telles activités. Essayez ce filtre dans Wireshark :
tcp.flags.syn == 1 and tcp.flags.ack == 0
Ce filtre affiche les paquets SYN sans l'indicateur ACK (flag ACK). Dans une connexion TCP, le paquet SYN est le premier envoyé pour initier une connexion, et le paquet ACK est utilisé pour accuser réception de la connexion. Lorsque nous voyons beaucoup de paquets SYN sans ACK d'une source vers différents ports de destination, c'est une forte indication de scan de ports.
Détection du trafic DNS suspect
Le tunneling DNS et autres attaques basées sur le DNS sont de plus en plus courants. Ces attaques utilisent le protocole DNS pour masquer des activités malveillantes, telles que l'exfiltration de données ou la communication de commande et de contrôle (command and control communication). Pour détecter de telles attaques, nous devons rechercher un trafic DNS inhabituel.
Utilisez ce filtre pour examiner les requêtes DNS :
dns
Une fois que vous avez appliqué ce filtre, recherchez des noms de domaine inhabituellement longs ou un volume élevé de requêtes DNS vers le même domaine. Cela pourrait être des signes d'exfiltration de données ou de communication de commande et de contrôle.
Identification des tentatives d'attaque par force brute de mot de passe (Password Brute Force)
Les attaques par force brute de mot de passe sont un moyen courant pour les attaquants d'obtenir un accès non autorisé à des services tels que SSH ou FTP. Dans une attaque par force brute, l'attaquant essaie plusieurs combinaisons de mots de passe jusqu'à ce qu'il trouve la bonne.
Pour détecter les tentatives potentielles de mot de passe par force brute, nous pouvons filtrer les tentatives de connexion infructueuses. Utilisez ce filtre :
ftp contains "530" or ssh contains "Failed"
Ce filtre affiche les paquets FTP et SSH qui contiennent des messages de réponse d'échec courants. Si vous voyez plusieurs échecs de la même source, cela peut indiquer une tentative de force brute.
Analyse des réponses d'erreur HTTP (HTTP Error Responses)
Les attaques d'applications Web génèrent souvent des réponses d'erreur HTTP. Les attaquants peuvent essayer d'exploiter des vulnérabilités dans les applications Web, et ces tentatives peuvent entraîner des réponses d'erreur du serveur.
Filtrez ces réponses d'erreur avec :
http.response.code >= 400
Ce filtre affiche les paquets de réponse HTTP avec des codes d'état de 400 ou plus. Tous ces codes d'état représentent des réponses d'erreur. En examinant ces paquets, nous pouvons identifier les tentatives d'exploitation Web.
Recherche d'informations d'identification en texte clair (Clear-Text Credentials)
La transmission d'informations d'identification en texte clair est un risque de sécurité majeur. Si un attaquant intercepte ces informations d'identification, il peut obtenir un accès non autorisé au système.
Pour détecter les informations d'identification en texte clair, utilisez ce filtre :
http contains "user" or http contains "pass" or http contains "login"
Ce filtre nous aide à trouver le trafic HTTP qui pourrait contenir des informations de connexion. Examinez attentivement les paquets qui correspondent à ce filtre pour identifier les risques de sécurité potentiels.
Scénario pratique : analyse du trafic d'échantillon et génération de nouveau trafic
Maintenant que vous avez appris divers filtres axés sur la sécurité, il est temps de mettre vos connaissances en pratique. Vous pouvez soit analyser le fichier d'échantillon fourni, soit générer et analyser un nouveau trafic.
Analyse du fichier d'échantillon
Si vous utilisez le fichier d'échantillon fourni (/home/labex/project/sample.pcapng), essayez d'appliquer certains des filtres de sécurité dont nous avons discuté pour identifier des schémas intéressants :
tcp.flags.syn == 1 and tcp.flags.ack == 0
Recherchez des schémas qui pourraient indiquer un scan, des connexions suspectes ou d'autres problèmes de sécurité.
Génération et analyse de nouveau trafic
Alternativement, ouvrez une nouvelle fenêtre de terminal. Dans cette fenêtre, nous allons générer du trafic HTTP avec plusieurs requêtes. Exécutez les commandes suivantes :
for i in {1..5}; do
curl -I www.google.com
sleep 1
done
Ces commandes envoient cinq requêtes HTTP HEAD à www.google.com avec un intervalle d'une seconde entre chaque requête.
Ensuite, allez dans Wireshark et appliquez ce filtre pour trouver toutes les requêtes HTTP :
http.request
Ce filtre affichera toutes les requêtes HTTP dans le trafic capturé.
Parcourez ces paquets pour identifier les schémas de trafic HTTP normal. Notez les en-têtes, la fréquence des requêtes et d'autres détails.
Enfin, essayez de créer un filtre qui peut distinguer la navigation HTTP normale des outils de scan automatisés. Par exemple :
http.request and !(http.user_agent contains "Mozilla")
Ce filtre affiche les requêtes HTTP qui n'ont pas d'agents utilisateurs de navigateur (browser user agents). Étant donné que la plupart de la navigation Web normale est effectuée à l'aide de navigateurs avec Mozilla dans l'agent utilisateur, les requêtes sans celui-ci pourraient indiquer des outils automatisés plutôt que la navigation normale.
En pratiquant ces techniques de filtrage axées sur la sécurité, vous développerez les compétences nécessaires pour identifier rapidement le trafic suspect dans les captures de réseau réelles.
Résumé
Dans ce TP (travaux pratiques), vous avez appris à utiliser les filtres d'affichage Wireshark pour l'analyse du trafic réseau et l'identification des menaces de sécurité potentielles. Vous avez commencé soit par travailler avec un fichier de capture d'échantillon fourni, soit par capturer du trafic réseau en direct et vous familiariser avec l'interface Wireshark. Ensuite, vous avez maîtrisé les filtres d'affichage de base pour isoler des types de trafic spécifiques en fonction des protocoles, des adresses IP et des ports. Vous avez également perfectionné vos compétences avec des techniques de filtrage complexes, en combinant plusieurs conditions et en recherchant un contenu spécifique. Enfin, vous avez appliqué ces compétences dans des scénarios d'analyse de sécurité pour détecter des activités suspectes telles que le scan de ports (port scanning), l'exposition d'informations d'identification (credential exposure) et les attaques potentielles.
Ces compétences de filtrage Wireshark sont essentielles pour un dépannage réseau et une analyse de sécurité efficaces. En isolant rapidement les paquets pertinents des captures volumineuses, vous pouvez considérablement réduire le temps nécessaire pour identifier et résoudre les problèmes de réseau et les incidents de sécurité. Au fur et à mesure que vous vous entraînerez avec Wireshark, vous acquerrez une compréhension intuitive des protocoles réseau et des modèles de trafic, ce qui améliorera vos capacités globales en matière de cybersécurité.
