Wireshark pour Red Team
Capture et filtres
Observer les protocoles, vérifier un tunnel, documenter les flux et mesurer la visibilité réseau.
Capture
Sélectionne l’interface et utilise un filtre de capture lorsque le trafic est volumineux :
host 192.0.2.10 and (tcp port 80 or tcp port 443)
Filtres d’affichage
ip.addr == 192.0.2.10
tcp.port == 443
dns
http.request
tls.handshake.type == 1
eapol
Les filtres de capture utilisent la syntaxe BPF, les filtres d’affichage utilisent les champs Wireshark.
TShark
tshark -r capture.pcapng -q -z endpoints,ip
tshark -r capture.pcapng -Y 'dns' -T fields -e frame.time -e ip.src -e dns.qry.name
Conservation
Capture la durée minimale, anonymise si nécessaire et chiffre les PCAP. Ils peuvent contenir des cookies, noms, adresses et données en clair.