Filtrer le trafic web chiffré

Introduction

Dans ce défi, vous incarnerez un analyste junior en cybersécurité enquêtant sur une potentielle violation de données chez Cybertech Industries. L'équipe de sécurité a détecté une activité réseau inhabituelle en dehors des heures de bureau et vous a fourni un fichier de capture de paquets contenant le trafic réseau suspect.

Votre tâche consiste à utiliser Wireshark pour analyser le fichier de capture de paquets fourni en créant un filtre d'affichage qui isole uniquement le trafic HTTPS chiffré (port TCP 443). Cette technique de filtrage vous aidera à vous concentrer sur les communications potentiellement sensibles qui pourraient être liées à la violation suspectée. Une fois que vous avez créé le filtre approprié, vous l'enregistrerez dans un fichier texte à des fins de documentation.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") subgraph Lab Skills wireshark/display_filters -.-> lab-548806{{"Filtrer le trafic web chiffré"}} end

Chasse au trafic HTTPS suspect

En tant qu'analyste junior en cybersécurité, vous enquêtez sur une potentielle violation de données chez Cybertech Industries. L'équipe de sécurité a découvert une activité réseau inhabituelle en dehors des heures de bureau et a besoin de votre aide. Elle vous a fourni un fichier de capture de paquets contenant le trafic réseau du moment où l'activité suspecte s'est produite.

Tâches

Utilisez le filtre d'affichage (display filter) de Wireshark pour afficher uniquement le trafic HTTPS chiffré en filtrant sur le port TCP 443.

Exigences

Ouvrez le fichier suspicious_traffic.pcapng situé dans le répertoire ~/project en utilisant Wireshark.
Créez un filtre d'affichage pour isoler uniquement le trafic HTTPS (port TCP 443).
Enregistrez votre filtre sous le nom https_filter.txt dans le répertoire ~/project, en ne contenant que l'expression du filtre (une seule ligne).

Exemples

Lorsque vous appliquez correctement le filtre approprié, vous devriez voir quelque chose comme ceci :

Les paquets affichés ne doivent inclure que ceux utilisant le port TCP 443, qui est le port standard pour le trafic HTTPS.

Votre fichier de filtre enregistré ne doit contenir que l'expression du filtre, par exemple :

ip.addr == 8.8.8.8

(Remarque : Ceci est juste un exemple de format de filtre, pas la solution)

Conseils

Dans Wireshark, les filtres d'affichage sont saisis dans la barre de filtre en haut de la fenêtre principale.
L'expression du filtre doit se concentrer sur le numéro de port TCP qui est utilisé de manière standard pour le trafic HTTPS.
N'oubliez pas que les numéros de port peuvent être référencés en utilisant tcp.port dans les expressions de filtre.
Consultez la section sur "Using Display Filters" du lab (laboratoire) pour plus d'informations.
Assurez-vous de n'enregistrer que le texte de l'expression du filtre dans votre fichier de filtre, sans aucun texte ou explication supplémentaire.

✨ Vérifier la solution et pratiquer

Résumé

Dans ce défi, j'ai travaillé en tant qu'analyste junior en cybersécurité enquêtant sur une potentielle violation de données chez Cybertech Industries en analysant un trafic réseau suspect. En utilisant Wireshark, j'ai appris à créer et à appliquer des filtres d'affichage (display filters) pour isoler le trafic HTTPS chiffré en me concentrant spécifiquement sur les communications du port TCP 443.

L'exercice consistait à ouvrir un fichier de capture de paquets fourni, à appliquer la syntaxe de filtre appropriée dans la barre de filtre d'affichage de Wireshark, et à enregistrer l'expression du filtre dans un fichier texte. Cette compétence pratique est essentielle pour les analystes de sécurité qui ont besoin d'identifier et d'examiner rapidement le trafic web chiffré lors d'enquêtes de sécurité, leur permettant de se concentrer sur les paquets pertinents tout en filtrant les communications réseau non liées.