Wireshark pour Red Team
Analyser un test offensif
Observer les protocoles, vérifier un tunnel, documenter les flux et mesurer la visibilité réseau.
Questions
- quels flux ont été générés ?
- le service a-t-il répondu comme prévu ?
- un tunnel a-t-il routé uniquement les cibles autorisées ?
- les probes ont-elles été retransmises ou bloquées ?
- le protocole est-il chiffré ?
- quels IOC fournir au Blue Team ?
TCP
tcp.analysis.retransmission
tcp.analysis.reset
tcp.flags.syn == 1 and tcp.flags.ack == 0
HTTP/TLS
http.request.method
tls.handshake.extensions_server_name
x509sat.uTF8String
Wi-Fi
wlan.fc.type_subtype == 0x0008
eapol
wlan.ssid
Rapport
Exporte un petit PCAP nettoyé ou une capture d’écran avec le numéro de paquet, le filtre et l’horodatage. Évite de joindre la capture complète si elle contient des données non nécessaires.