LabEx
Se connecterInscription gratuite

Extraire des preuves de trafic web

WiresharkWiresharkBeginner
Pratiquer maintenant

💡 Ce tutoriel est traduit par l'IA à partir de la version anglaise. Pour voir la version originale, vous pouvez cliquer ici

Introduction

Dans ce défi, vous incarnerez un stagiaire en cybersécurité chez NetDefenders enquêtant sur une potentielle fuite de données. Votre instructeur vous a fourni un fichier de capture du trafic réseau, et votre mission est d'extraire les preuves de communication entre un employé et labex.io pour votre rapport de formation en criminalistique numérique (forensic).

En utilisant Wireshark, vous analyserez le trafic réseau capturé en filtrant les paquets TCP contenant "labex", en suivant le flux TCP (TCP stream) pour examiner la conversation complète, et en sauvegardant les preuves sous forme de fichier texte. Cet exercice pratique démontre les techniques essentielles de criminalistique réseau (network forensics) utilisées par les professionnels de la sécurité pour identifier et documenter les communications web suspectes.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") subgraph Lab Skills wireshark/display_filters -.-> lab-548842{{"Extraire des preuves de trafic web"}} wireshark/follow_tcp_stream -.-> lab-548842{{"Extraire des preuves de trafic web"}} wireshark/export_packets -.-> lab-548842{{"Extraire des preuves de trafic web"}} end

Révéler des conversations web cachées

En tant que stagiaire en cybersécurité chez NetDefenders, vous enquêtez sur une potentielle fuite de données. Votre instructeur a capturé le trafic réseau d'un employé accédant à labex.io et vous a chargé d'extraire les détails de la communication comme preuve pour votre rapport de formation en criminalistique numérique (forensic).

Tâches

  • Filtrer le trafic Wireshark capturé pour afficher uniquement les paquets TCP contenant labex
  • Suivre un flux TCP (TCP stream) à partir des paquets filtrés et l'enregistrer sous le nom tcp_evidence.txt dans le dossier du projet

Exigences

  1. Ouvrez le fichier de capture network_evidence.pcapng dans Wireshark, qui se trouve dans votre répertoire /home/labex/project.
  2. Utilisez un filtre d'affichage pour afficher uniquement les paquets TCP qui contiennent "labex" dans leur contenu.
  3. Sélectionnez l'un des paquets filtrés, puis utilisez la fonctionnalité "Follow TCP Stream" de Wireshark pour afficher la conversation complète.
  4. Enregistrez le contenu du flux TCP (TCP stream) sous un fichier nommé tcp_evidence.txt dans le répertoire /home/labex/project.
  5. Le fichier enregistré doit contenir les données complètes du flux TCP (TCP stream) entre votre système et labex.io.

Exemples

Lorsque vous appliquez le filtre correct, votre affichage Wireshark peut ressembler à ceci :

Wireshark filter

Après avoir suivi le flux TCP (TCP stream), vous verrez une fenêtre affichant les données de la conversation. Le fichier enregistré contiendra ces données, qui peuvent inclure des informations d'établissement de liaison TLS (TLS handshake) et du trafic HTTPS chiffré.

Astuces

  • Pour filtrer les paquets TCP contenant un texte spécifique, utilisez le format : tcp contains "text"
  • Faites un clic droit sur un paquet et sélectionnez "Follow" > "TCP Stream" pour afficher la conversation complète
  • Dans la fenêtre "Follow TCP Stream", cliquez sur le bouton "Save As" pour enregistrer les données du flux
  • Assurez-vous d'enregistrer le fichier avec exactement le nom requis dans le répertoire spécifié
  • La boîte de dialogue d'enregistrement peut pointer par défaut vers un emplacement différent, alors accédez à /home/labex/project avant d'enregistrer
✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai effectué des tâches de criminalistique réseau (network forensics) en utilisant Wireshark pour extraire des preuves de trafic web à partir d'un fichier de paquets capturés. L'enquête s'est concentrée sur l'examen de la communication entre un système et labex.io afin de documenter une potentielle fuite de données, ce qui a nécessité l'application de filtres d'affichage spécifiques pour isoler les paquets TCP pertinents contenant "labex" dans leur contenu.

Le processus a impliqué l'ouverture d'un fichier de capture réseau, le filtrage du trafic, le suivi des flux TCP (TCP streams) pour visualiser les communications complètes, et l'enregistrement des preuves sous forme de fichier texte. Ces techniques représentent des compétences essentielles pour les professionnels de la cybersécurité menant des enquêtes de criminalistique réseau (network forensic investigations) et préparant des preuves pour les rapports d'incidents de sécurité.

Connexe Wireshark Cours
Démarrage rapide avec Wireshark

Démarrage rapide avec Wireshark

Cybersecurity
Débutant