Mon blog note en ligne
Vous débutez avec Wireshark et souhaitez apprendre à repérer des activités suspectes dans votre réseau ? Les filtres de capture et d’affichage sont vos meilleurs alliés ! Nous avons compilé 21 filtres clés pour détecter des attaques, des erreurs ou des comportements anormaux, avec des exemples concrets pour chaque cas. Que ce soit pour identifier un scan de ports, une tentative de brute-force ou un trafic DNS louche, ces expressions vous feront gagner un temps précieux.
𝐀𝐭𝐭𝐚𝐪𝐮𝐞𝐬 𝐯𝐨𝐥𝐮𝐦𝐞́𝐭𝐫𝐢𝐪𝐮𝐞𝐬 :
1. http.request.method == « GET » → Flood HTTP GET
2. tcp.flags.syn == 1 && tcp.flags.ack == 0 → SYN Flood / Port scanning
3. icmp → ICMP Flood (Ping of Death)
4. dns.qry.name → Amplification DNS
𝐄𝐱𝐟𝐢𝐥𝐭𝐫𝐚𝐭𝐢𝐨𝐧 & 𝐭𝐮𝐧𝐧𝐞𝐥𝐢𝐧𝐠 :
5. dns → DNS tunneling
6. smtp → Exfiltration par email
7. http.request.method == « POST » → POST suspects
8. http contains « cmd.exe » → Command & Control malware
𝐄𝐱𝐟𝐢𝐥𝐭𝐫𝐚𝐭𝐢𝐨𝐧 & 𝐭𝐮𝐧𝐧𝐞𝐥𝐢𝐧𝐠 :
9. smb.cmd == 0x73 → Brute force SMB
10. ssh → Brute force SSH
11. ftp.request.command == « USER » → FTP en clair
12. telnet → Telnet en clair
13. tcp.port == 3389 → Tentatives RDP non autorisées
𝐌𝐚𝐧𝐢𝐩𝐮𝐥𝐚𝐭𝐢𝐨𝐧 𝐫𝐞́𝐬𝐞𝐚𝐮 :
14. arp.duplicate-address-frame → ARP spoofing
15. dns.flags.rcode != 0 → DNS poisoning
16. dhcp → DHCP starvation / Rogue DHCP
17. ssl.handshake.type == 11 → Certificats TLS suspects
18. ssl.record.version < 0x0303 → Downgrade SSL/TLS
𝐌𝐚𝐧𝐢𝐩𝐮𝐥𝐚𝐭𝐢𝐨𝐧 𝐫𝐞́𝐬𝐞𝐚𝐮 :
19. http.user_agent → User-Agent suspects
20. http.request.uri contains « SELECT » → SQL Injection
21. sip → Écoute VoIP (SIP)
Source : LinkedIn