Aide-mémoire Wireshark
Référence complète d'analyse réseau
Filtres d'affichage • Filtres de capture • Analyse de protocoles • Investigation du trafic
📑 Navigation rapide
Qu'est-ce que Wireshark ?
Wireshark est l'analyseur de protocoles réseau le plus important et le plus utilisé au monde. Il vous permet de capturer et de parcourir interactivement le trafic réseau sur un ordinateur. Il est utilisé pour le dépannage réseau, l'analyse, le développement de logiciels et de protocoles, et l'audit de sécurité.
Téléchargement sur wireshark.org. Pré-installé sur Kali Linux. Version ligne de commande : tshark.
🔍 Types de filtres
Filtres de capture (BPF)
Appliqués AVANT la capture. Utilise la syntaxe Berkeley Packet Filter. Réduit la taille du fichier de capture.
Filtres d'affichage
Appliqués APRÈS la capture. Syntaxe plus puissante. Filtre ce que vous voyez, pas ce qui est capturé.
🔣 Opérateurs des filtres d'affichage
| Opérateur | Description | Exemple |
|---|---|---|
| == | Égal | ip.addr == 192.168.1.1 |
| != | Différent | ip.addr != 10.0.0.1 |
| > | Supérieur à | tcp.port > 1024 |
| < | Inférieur à | frame.len < 100 |
| >= | Supérieur ou égal | tcp.window_size >= 65535 |
| <= | Inférieur ou égal | ip.ttl <= 64 |
| contains | Contient une chaîne | http contains "password" |
| matches | Correspondance regex | http.host matches ".*\.com" |
| && | ET logique | ip.src == 10.0.0.1 && tcp.port == 80 |
| || | OU logique | tcp.port == 80 || tcp.port == 443 |
| ! | NON logique | !arp |
🌐 Filtres d'adresses IP
| Filtre | Description |
|---|---|
| ip.addr == 192.168.1.1 | IP source ou destination |
| ip.src == 192.168.1.1 | IP source uniquement |
| ip.dst == 192.168.1.1 | IP destination uniquement |
| ip.addr == 192.168.1.0/24 | Sous-réseau (notation CIDR) |
| !(ip.addr == 192.168.1.1) | Exclure une IP spécifique |
| ip.ttl == 64 | Valeur TTL |
| ip.version == 4 | IPv4 uniquement |
| ipv6.addr == ::1 | Adresse IPv6 |
🔌 Filtres TCP
| Filtre | Description |
|---|---|
| tcp | Tout le trafic TCP |
| tcp.port == 80 | Port source ou destination |
| tcp.srcport == 443 | Port source |
| tcp.dstport == 22 | Port destination |
| tcp.flags.syn == 1 | Flag SYN activé |
| tcp.flags.ack == 1 | Flag ACK activé |
| tcp.flags.fin == 1 | Flag FIN activé |
| tcp.flags.reset == 1 | Flag RST activé |
| tcp.analysis.retransmission | Retransmissions TCP |
| tcp.stream eq 5 | Suivre le flux TCP #5 |
📡 Filtres UDP
| udp | Tout le trafic UDP |
| udp.port == 53 | Port DNS |
| udp.srcport == 67 | Port serveur DHCP |
| udp.length > 1000 | Gros paquets UDP |
🌐 Filtres HTTP
| Filtre | Description |
|---|---|
| http | Tout le trafic HTTP |
| http.request | Requêtes HTTP uniquement |
| http.response | Réponses HTTP uniquement |
| http.request.method == "GET" | Requêtes GET |
| http.request.method == "POST" | Requêtes POST |
| http.response.code == 200 | Réponses OK |
| http.response.code == 404 | Réponses non trouvé |
| http.response.code >= 400 | Réponses d'erreur |
| http.host contains "example" | Hôte contient une chaîne |
| http.request.uri contains "login" | URI contient une chaîne |
| http.user_agent contains "Mozilla" | Filtre User Agent |
| http.cookie | Paquets avec cookies |
| http.content_type contains "image" | Contenu image |
🔤 Filtres DNS
| dns | Tout le trafic DNS |
| dns.qry.name contains "example" | Nom de requête contient une chaîne |
| dns.qry.type == 1 | Enregistrements A |
| dns.qry.type == 28 | Enregistrements AAAA |
| dns.flags.response == 0 | Requêtes DNS uniquement |
| dns.flags.response == 1 | Réponses DNS uniquement |
📦 Filtres d'autres protocoles
| Filtre | Description |
|---|---|
| icmp | Trafic ICMP (ping) |
| arp | Trafic ARP |
| dhcp | Trafic DHCP |
| tls | Trafic TLS/SSL |
| ssh | Trafic SSH |
| ftp | Trafic FTP |
| smb || smb2 | Trafic SMB |
| rdp | Trafic RDP |
| kerberos | Trafic Kerberos |
📹 Filtres de capture (syntaxe BPF)
Appliqués avant la capture dans Capture → Options. Utilise une syntaxe différente des filtres d'affichage.
| Filtre | Description |
|---|---|
| host 192.168.1.1 | Trafic vers/depuis l'IP |
| src host 192.168.1.1 | Trafic depuis l'IP |
| dst host 192.168.1.1 | Trafic vers l'IP |
| net 192.168.1.0/24 | Trafic vers/depuis le sous-réseau |
| port 80 | Trafic sur le port 80 |
| tcp port 443 | Port TCP 443 |
| udp port 53 | Port UDP 53 |
| portrange 1-1024 | Plage de ports |
| not arp | Exclure ARP |
| tcp and port 80 | TCP sur le port 80 |
⌨️ Raccourcis et fonctionnalités utiles
| Action | Raccourci/Méthode |
|---|---|
| Suivre le flux TCP | Clic droit → Suivre → Flux TCP |
| Suivre le flux HTTP | Clic droit → Suivre → Flux HTTP |
| Exporter les objets (fichiers) | Fichier → Exporter les objets → HTTP/SMB/etc. |
| Hiérarchie des protocoles | Statistiques → Hiérarchie des protocoles |
| Conversations | Statistiques → Conversations |
| Points d'extrémité | Statistiques → Points d'extrémité |
| Graphique I/O | Statistiques → Graphique I/O |
| Démarrer la capture | Ctrl+E |
| Arrêter la capture | Ctrl+E |
| Rechercher un paquet | Ctrl+F |
| Paquet suivant | Ctrl+N |
🖥️ TShark (ligne de commande)
# Capturer sur une interfacetshark -i eth0# Capturer avec filtretshark -i eth0 -f "port 80"# Lire un fichier pcaptshark -r capture.pcap# Appliquer un filtre d'affichagetshark -r capture.pcap -Y "http"# Extraire des champs spécifiquestshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri# Écrire dans un fichiertshark -i eth0 -w output.pcap# Capturer N paquetstshark -i eth0 -c 100
📚 Ressources supplémentaires
🦈 Aide-mémoire Wireshark terminé !
Vous disposez maintenant d'une référence complète pour l'analyseur de protocoles réseau le plus populaire au monde. Du filtrage du trafic à l'extraction de fichiers, ces commandes sont essentielles pour l'analyse réseau et les investigations de sécurité.
Prêt à analyser votre prochaine capture !