Fiche wireshark : analyse du trafic réseau et détection d’anomalies

Pour les étudiants en BTS CIEL ou SIO, Wireshark est un outil essentiel pour analyser le trafic réseau.
Il permet de :

• observer les communications entre machines
• diagnostiquer un problème réseau
• détecter des anomalies ou comportements suspects
• analyser des identifiants en clair (selon protocole)

---

Commandes et filtres essentiels (bloc unique)

# =========================================================
# FILTRES PAR PROTOCOLE
# =========================================================

http
dns
tcp
udp
icmp
ftp
ssh

# =========================================================
# FILTRES PAR IP
# =========================================================

ip.addr == 192.168.1.10
ip.src == 192.168.1.10
ip.dst == 192.168.1.1

# =========================================================
# FILTRES PAR MAC
# =========================================================

eth.addr == 00:11:22:33:44:55
eth.src == 00:11:22:33:44:55
eth.dst == AA:BB:CC:DD:EE:FF

# =========================================================
# FILTRES PORT
# =========================================================

tcp.port == 80
tcp.port == 22
udp.port == 53

# =========================================================
# FILTRES AVANCES
# =========================================================

http.request
dns.query
tcp.flags.syn == 1
tcp.flags.reset == 1

# =========================================================
# COMBINAISONS
# =========================================================

ip.addr == 192.168.1.10 && tcp.port == 80
http && ip.src == 192.168.1.10

---

Explication détaillée

1. Fonctionnement de Wireshark

Wireshark capture les paquets réseau et affiche :

• couche 2 → MAC
• couche 3 → IP
• couche 4 → TCP/UDP
• couche 7 → protocole (HTTP, DNS…)

---

Suivi des communications (très important)

Suivre une session TCP

Dans Wireshark :

• clic droit sur un paquet
• Follow → TCP Stream

Permet de voir :

• une conversation complète
• requête + réponse

---

Exemple HTTP

GET /index.html HTTP/1.1
Host: example.com

suivi complet :

• navigation web
• échanges client/serveur

---

Recherche de credentials (identifiants)

possible uniquement sur protocoles NON chiffrés

HTTP (non sécurisé)

Filtre :

http

Rechercher :

username=admin&password=1234

---

FTP

ftp

Exemple :

USER admin
PASS password123

---

Telnet

telnet

identifiants en clair

---

Important

• HTTPS / SSH → chiffrés → non lisibles
• Wireshark montre seulement les métadonnées

---

Exemples de filtrage

Filtrer un protocole

dns

---

Filtrer une IP

ip.addr == 192.168.1.10

---

Filtrer une communication précise

ip.src == 192.168.1.10 && tcp.port == 80

---

Filtrer une MAC

eth.addr == 00:11:22:33:44:55

---

Filtrer un scan réseau

tcp.flags.syn == 1 && tcp.flags.ack == 0

détecte tentative de scan (nmap)

---

Filtrer erreurs réseau

tcp.flags.reset == 1

---

Cas pratiques

Cas 1 : problème DNS

dns

vérifier :

• requête
• réponse

---

Cas 2 : lenteur réseau

tcp.analysis.retransmission

détecte :

• pertes de paquets

---

Cas 3 : brute force

tcp.flags.syn == 1

nombreuses connexions = attaque

---

Cas 4 : communication suspecte

ip.addr == 192.168.1.50

---

Bonnes pratiques

• capturer uniquement ce qui est nécessaire
• utiliser des filtres pour réduire le bruit
• analyser couche par couche
• ne jamais analyser un réseau sans autorisation
• sauvegarder les captures (.pcap)

---

Récapitulatif des éléments importants

Élément	Rôle
Capture	analyse trafic
Filtres	ciblage
Follow TCP Stream	voir conversation
Protocoles	compréhension des échanges
PCAP	sauvegarde

---

Conclusion

Wireshark permet :

• d’analyser précisément le réseau
• de comprendre les communications
• de détecter des anomalies

C’est un outil clé en :

• administration réseau
• cybersécurité
• forensic

---