Red Team Field NotesPentest · Adversary Simulation · Validation
Wireshark pour Red Team

Capture et filtres

Observer les protocoles, vérifier un tunnel, documenter les flux et mesurer la visibilité réseau.

Capture

Sélectionne l’interface et utilise un filtre de capture lorsque le trafic est volumineux :

host 192.0.2.10 and (tcp port 80 or tcp port 443)

Filtres d’affichage

ip.addr == 192.0.2.10
tcp.port == 443
dns
http.request
tls.handshake.type == 1
eapol

Les filtres de capture utilisent la syntaxe BPF, les filtres d’affichage utilisent les champs Wireshark.

TShark

tshark -r capture.pcapng -q -z endpoints,ip
tshark -r capture.pcapng -Y 'dns' -T fields   -e frame.time -e ip.src -e dns.qry.name

Conservation

Capture la durée minimale, anonymise si nécessaire et chiffre les PCAP. Ils peuvent contenir des cookies, noms, adresses et données en clair.

Références officielles