Réseau Wireshark et Blue Teaming

L'Équipe Alphorm
L'Équipe Alphorm 16e lecture en min

Dans notre précédent article sur la sécurité des e-mails avec le phishing blue teaming, nous avons exploré les stratégies pour protéger les communications électroniques contre les attaques de phishing. Aujourd’hui, nous allons approfondir notre approche de la sécurité réseau en utilisant Wireshark pour le réseau Wireshark blue teaming. L’analyse réseau est une compétence essentielle pour assurer la sécurité et la performance des infrastructures informatiques. Wireshark, un outil puissant et polyvalent, permet de capturer et d’analyser les paquets réseau en détail. En comprenant les protocoles réseau, en filtrant les données pertinentes et en suivant les échanges réseau, vous serez mieux préparé à protéger votre infrastructure contre les menaces potentielles.

Découvrir l'interception réseau Wireshark blue teaming

Introduction à réseau Wireshark blue teaming

Wireshark est un logiciel d’analyse de paquets informatiques utilisé pour le dépannage et l’analyse de réseaux informatiques. Il est également utilisé dans le développement de protocoles, l’éducation et la rétro-ingénierie. Wireshark prend en charge plus de 1500 protocoles et est doté d’interfaces GUI et CLI pour une utilisation conviviale et flexible.

Schéma illustrant le fonctionnement de Wireshark

Pour installer Wireshark, c’est très simple. Il suffit de se rendre sur le site officiel de Wireshark, comme vous pouvez le voir ci-dessus, et de télécharger la version qui vous correspond

Écran de téléchargement du logiciel Wireshark

Référence : Site officiel de l’application Wireshark Wireshark · Go Deep

Une fois notre outil installé, nous allons l’ouvrir et examiner son interface, comme illustré ci-dessous.

Interface utilisateur de Wireshark avec plusieurs options visibles

Dans notre interface, nous allons voir différentes cartes réseau disponibles, où je peux également visualiser toutes les cartes réseau en mode interface et le trafic qui y circule.

Liste des différentes cartes réseau connectées

Si l’on clique sur le bouton cercle noir, nous disposons d’une interface où nous voyons en bas le filtre de capture. Nous pouvons choisir un protocole que nous souhaitons capturer.

Affichage des différents protocoles réseau capturés par Wireshark

De plus, nous pouvons également cliquer sur « Gérer les filtres de capture » pour voir les différents filtres et les expressions à saisir.

Écran de sélection des filtres de capture dans Wireshark

Nous allons donc lancer notre capture et commencer à récupérer les informations.

Début de la capture des paquets réseau dans Wireshark

Nous pouvons accéder à un site, par exemple alphorm.com.

Page d'accueil du site officiel d'Alphorme

Après avoir arrêté notre capture, nous disposons de l’ensemble du trafic intercepté, comprenant des informations telles que le temps, la source, la destination, le protocole utilisé, ainsi que des informations complémentaires essentielles pour l’analyse de la sécurité blue teaming.

Dans le cadre d’une stratégie blue teaming, il est crucial de pouvoir interpréter ces données avec précision pour détecter et réagir aux menaces potentielles. Pour garantir une analyse précise, nous pouvons changer le format du temps en UTC. Pour ce faire, cliquez avec le bouton droit de la souris sur « Time » et sélectionnez l’option appropriée. Cela permet d’harmoniser les horodatages et d’assurer une corrélation correcte des événements de sécurité.

Nous pouvons changer le format du temps en UTC en cliquant avec le bouton droit de la souris sur Time

Option pour changer le format de temps dans Wireshark

Puis en sélectionnant « Colonnes de préférences« , et dans la section « Temps« ,

Interface de modification du format de temps

Choisir le format « UTC Time« .

Paramètres de format de temps dans Wireshark

Nous pouvons par exemple choisir l’une des requêtes, peu importe laquelle.

Sélection d'une requête spécifique dans Wireshark

Nous pouvons également accéder à une vue qui nous permet de voir de manière plus détaillée les différentes couches et leurs composants, tels que les ports de destination et source, ainsi qu’une vue hexadécimale.

Affichage des différentes couches de protocole

Pour voir une vue beaucoup plus intéressante, il suffit de double-cliquer sur la requête, et vous verrez alors comme indiqué ci-dessus

Détail des couches de protocole dans Wireshark

Maintenant, nous allons créer un profil en allant en bas, en cliquant sur « Profile« , puis en cliquant sur « New« .

Interface de création d'un nouveau profil utilisateur

Nous allons nommer le profil « ALPHORM« .

Processus de création d'un profil personnalisé

Pour trouver le chemin de notre profil, nous cliquons sur « Aide » dans la barre de menu, puis sur « À propos de Wireshark« . Ensuite, nous cliquons sur « Dossier » et nous pouvons voir le chemin du profil.

Champ pour nommer le nouveau profil dans Wireshark

Pour trouver le chemin de notre profil dans le cadre de l’analyse de sécurité du réseau Wireshark blue teaming, nous pouvons suivre ces étapes simples :

Tout d’abord, cliquez sur « Aide » dans la barre de menu de Wireshark. Ensuite, sélectionnez « À propos de Wireshark« .

Dans la fenêtre qui s’ouvre, vous verrez un bouton « Dossier » que vous pouvez cliquer. En cliquant dessus, le chemin de votre profil sera affiché

Diagramme montrant différentes options de disposition
Affichage du chemin du fichier de profil dans Wireshark

Pour changer la disposition, il suffit de cliquer sur « Éditer« , puis sur « Préférences« . Ensuite, dans la section « Disposition« , vous pouvez choisir la disposition nécessaire.

Interface pour changer la disposition des fenêtres

Nous avons la représentation sous forme d’un diagramme.

Filtrage par adresse IP spécifique dans Wireshark pour le Blue Teaming.

En haut, nous pouvons trouver un onglet d’affichage. Il suffit de choisir « Spécifique » comme HTTP, comme illustré ci-dessus.

Filtrage par protocole réseau dans Wireshark pour le Blue Teaming.

Et nous disposons uniquement des données HTTP qui s’affichent comme vous pouvez le voir dans la figure suivante.

Deuxième étape du filtrage par protocole réseau dans Wireshark.

Supposons maintenant que nous souhaitons filtrer par une adresse IP source spécifique, par exemple 192.168.163.1. Nous pouvons utiliser le nom de champ « ip.addr==192.168.163.1« , et ensuite nous pourrons voir l’adresse IP source spécifiée.

Filtrage par adresse IP spécifique dans Wireshark pour le Blue Teaming.

La deuxième approche consiste à choisir le champ que je souhaite analyser dans le cadre de la sécurité du réseau Wireshark blue teaming. Par exemple, nous prenons un paquet, faisons un clic droit, appliquons comme filtre, puis cliquons sur « Sélectionner automatiquement ». Cela créera le filtre nécessaire pour isoler les données pertinentes, facilitant ainsi l’analyse et la détection des anomalies dans notre stratégie de blue teaming.

Création d'un filtre sur une adresse IP spécifique dans Wireshark.

Après la création du filtre, nous avons une vue comme illustré ci-dessus.

Résultats après la création d'un filtre sur une adresse IP dans Wireshark.

Supposons maintenant que nous souhaitons créer un filtre à partir de l’historique dans le cadre de la sécurité du réseau Wireshark blue teaming. Si nous utilisons ce filtre fréquemment et que nous voulons le garder pour une réutilisation future, nous pouvons suivre ces étapes simples :

Nous pouvons aller dans la barre de recherche en haut pour créer un bouton pour la réutilisation. Nous lui donnons une étiquette et un commentaire relatifs à notre stratégie de blue teaming, puis cliquons sur OK. Cela nous permettra de réutiliser facilement ce filtre pour des analyses futures, optimisant ainsi notre processus de surveillance et de sécurisation du réseau.

Processus de création d'un filtre dans Wireshark pour le Blue Teaming.

Ici, nous pouvons remarquer un nouveau bouton nommé « Filtre complexe« ,

Résultats après la création d'un filtre dans Wireshark.

Que nous pouvons également modifier en faisant un clic droit.

Modification d'un filtre existant dans Wireshark pour le Blue Teaming.

On peut aussi utiliser Wireshark pour suivre une session spécifique. Par exemple, si je tape « tcp« , on peut voir les échanges qui font partie de la même session.

Suivi d'une session spécifique dans Wireshark pour le Blue Teaming.

On peut venir ici et effectuer un clic droit, puis cliquer sur « Suivre« , et ensuite sur « Flux TCP« .

Deuxième étape du suivi d'une session spécifique dans Wireshark.

Là, nous avons en fait la conversation complète des paquets, et nous pouvons voir plusieurs données en plus.

Suivi du flux TCP dans Wireshark pour analyser les communications réseau.

Nous pouvons voir plusieurs types d’affichage des données tels que BRUT, UTF-8, YAML, et d’autres.

Différents types d'échanges de données dans Wireshark pour le Blue Teaming.

Si l’on veut voir toutes les statistiques relatives aux échanges qui ont été effectués, par exemple, on peut cliquer sur « Propriétés« .

Statistiques des échanges réseau capturés par Wireshark pour le Blue Teaming.

Et je récupère toutes les informations sur le dernier.

Propriétés détaillées du fichier de capture dans Wireshark pour le Blue Teaming.

On peut également voir les adresses résolues avec les adresses MAC.

Liste des adresses résolues par Wireshark pour le Blue Teaming.

On peut aussi voir la hiérarchie des protocoles utilisés dans l’échange.

Hiérarchie des protocoles utilisés dans les échanges capturés par Wireshark.

On peut voir toutes les conversations entre différentes machines par adresse MAC, IPv4, IPv6, TCP et UDP.

Analyse des conversations réseau capturées par Wireshark pour le Blue Teaming.

Et aussi voir les Endpoints, c’est-à-dire l’ensemble des machines qui sont présentes au niveau de cette capture.

Liste des endpoints réseau capturés par Wireshark pour le Blue Teaming.

On a également un petit graphique de statistiques avec le nombre de paquets à travers le temps.

Graphiques des paquets capturés par Wireshark pour le Blue Teaming.

Et aussi d’un autre élément complémentaire qui nous permet de nous focaliser sur certains éléments suspects dans le réseau et d’autres informations.

Détails avancés des informations capturées par Wireshark pour le Blue Teaming.

Prêt à devenir un expert en sécurité Blue Teaming ?  Ne manquez pas notre formation vidéo exclusive ! 🔒 Transformez votre carrière en cyberdéfense maintenant ! 🚀Formation Blue Teaming

Effectuer des analyses réseaux avec réseau Wireshark blue teaming

Analyse du protocole ARP dans wireshark

Le protocole de résolution d’adresses (ARP) est un protocole de communication utilisé pour la découverte de l’adresse de la couche de liaison, telle qu’une adresse MAC, associée à une adresse de couche Internet donnée, typiquement une adresse IPv4

Schéma illustrant le fonctionnement du protocole ARP dans Wireshark.

Nous allons lancer une capture avec notre application.

Lancer une capture de paquets réseau dans Wireshark pour le Blue Teaming.

En se dirigeant vers l’invite de commande CMD en tant qu’administrateur, un flash de l’ARP est effectué en tapant la commande arp -d.

Flash de l'ARP dans Wireshark pour analyser les adresses résolues en Blue Teaming.

Nous allons donc effectuer un filtre sur le protocole ARP et là nous pourrons voir des requêtes qui sont broadcastées.

Application d'un filtre sur le protocole ARP dans Wireshark pour le Blue Teaming.

On effectue également un filtre sur le protocole ICMP pour observer les requêtes et les réponses qui sont en cours d’exécution.

Application d'un filtre sur ICMP dans Wireshark pour analyser les paquets en Blue Teaming.

Analyse du protocole DHCP dans wireshark

Le protocole DHCP attribue automatiquement des adresses IP aux appareils sur un réseau via des échanges de messages entre client et serveur, simplifiant ainsi la gestion des adresses IP.

Dans cet exemple, le client DHCP envoie un message DHCPDISCOVER (1), reçoit un message DHCPOFFER (2) du serveur, envoie un message DHCPREQUEST (3) pour accepter l’adresse IP proposée, puis reçoit un message DHCPACK (4) du serveur, confirmant l’attribution de l’adresse IP.

Schéma illustrant le fonctionnement du protocole DHCP dans Wireshark.

Sur la capture suivante, nous pouvons voir différentes informations, y compris les requêtes nécessaires pour obtenir une adresse IP une fois que le serveur DHCP 192.168.0.1 répond avec une adresse IP assignée.

Analyse des requêtes DHCP dans Wireshark pour le Blue Teaming.

En bas de la structure du paquet, nous pouvons voir qu’il s’agit d’une réponse, avec certains paramètres tels que l’adresse IP du client, l’adresse IP du serveur, l’adresse MAC du client, ainsi que d’autres informations supplémentaires.

Détails des requêtes DHCP capturées dans Wireshark pour le Blue Teaming.

Analyse du protocole DNS

Le DNS traduit les noms de domaine en adresses IP pour permettre la communication sur Internet. Il associe des noms de domaine tels que « www.cisco.com » à des adresses IP comme « 192.133.219.25« , facilitant l’identification des serveurs et des ordinateurs.

Schéma illustrant le fonctionnement du protocole DNS dans Wireshark.

Nous allons effectuer un filtrage pour le protocole DNS où en bas, nous pourrons voir un domaine name système ainsi que plus de précision et des requêtes.

Application d'un filtre sur le protocole DNS dans Wireshark pour le Blue Teaming.

Lorsque nous cliquons dessus, nous pouvons voir plusieurs informations, telles que le nom de domaine demandé (query), l’adresse IP à laquelle la réponse est destinée, et la réponse elle-même, généralement sous forme de réponse contenant l’adresse IP demandée.

Informations détaillées sur les requêtes DNS capturées par Wireshark.

Nous pouvons également lancer une capture en temps réel, puis ouvrir l’invite de commande pour exécuter une commande nslookup

Utilisation de la commande nslookup pour analyser les requêtes DNS dans Wireshark.

On commence par filtrer le protocole DNS.

Filtrage des requêtes DNS dans Wireshark pour le Blue Teaming.

Nous pouvons rechercher un domaine précis, par exemple alphorm.com.

Effectuer une requête DNS pour alphorm.com dans Wireshark pour le Blue Teaming.

Nous observons la requête DNS de alphorm.com et la réponse qu’elle reçoit.

Résultats de la requête DNS pour alphorm.com capturés par Wireshark.

Si l’on applique un filtre supplémentaire très intéressant, il recherchera le terme « alphorm » dans l’intégralité de la trame, en ajoutant « && frame contains « alphorm«  » à la requête DNS.

Application d'un filtre sur la capture réseau dans Wireshark pour le Blue Teaming.

Analyse du protocole HTTP avec Wireshark

Le protocole HTTP facilite le transfert de divers fichiers sur le Web, incluant du texte, des images et des vidéos. Il est implicitement utilisé lorsque les utilisateurs ouvrent un navigateur Web. Pour plus d’informations, consultez cet article détaillé.

Schéma illustrant le fonctionnement du protocole HTTP dans Wireshark.

Nous allons donc lancer une petite capture est dirigeant vers Google pour visiter un site tel que alphorm.com et naviguer.

Accès au site alphorm.com capturé par Wireshark pour le Blue Teaming.

Nous allons ici filtrer par HTTP pour voir toutes les requêtes effectuées en HTTP qui peuvent être récupérées.

Filtrage des requêtes HTTP dans Wireshark pour le Blue Teaming.

Pour faire cela, il suffit d’aller sur « Fichier« , comme vous pouvez le voir ci-dessus, puis de sélectionner « Exporter les objets » et de choisir HTTP.

Récupération des objets filtrés par HTTP dans Wireshark pour le Blue Teaming.

Ici, vous trouverez tous les objets exportés tels que des images, des certificats, du texte, et vous pouvez également enregistrer l’un de ces objets.

Liste des objets exportés après un filtre HTTP dans Wireshark.

Nous pouvons également effectuer une analyse rapide de notre requête en cliquant avec le bouton droit, puis en suivant le flux HTTP.

Effectuer une analyse de paquets réseau avec Wireshark pour le Blue Teaming.

Et là, nous avons les différents échanges où nous pouvons voir plusieurs interactions également.

Effectuer une analyse réseau Wireshark pour la sécurité blue teaming.

Envie d’élargir vos compétences en cybersécurité ?  Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming

Analyse du protocole FTP avec Wireshark

File Transfer Protocol (FTP) est un protocole standard pour la transmission de fichiers entre ordinateurs sur Internet par le biais de connexions TCP/IP est généralement utiliser le port 21.

Différents échanges réseau capturés avec Wireshark.

Au niveau de la capture suivante, on peut clairement voir qu’on effectue un filtre sur FTP pour observer les différentes informations qui circulent dans le cadre de l’analyse de sécurité du réseau Wireshark blue teaming.

Il est important de noter que des protocoles tels que Telnet et FTP sont considérés comme mal sécurisés, ce qui signifie que des données peuvent être récupérées facilement à travers ces protocoles. En tant qu’équipe blue teaming, notre rôle est d’identifier ces vulnérabilités et de recommander des alternatives plus sécurisées, comme SFTP ou SSH, pour protéger les informations sensibles et renforcer la sécurité du réseau.

Schéma des échanges FTP capturés avec Wireshark.

Ici, nous pouvons voir les différentes requêtes qui peuvent être échangées. Pour les examiner en détail, nous effectuons un clic droit et sélectionnons « Suivre« , puis « Flux TCP« .

Effectuer un filtre sur le trafic FTP avec Wireshark.

Et on peut observer les différents échanges, y compris la bannière, la requête de l’utilisateur, le mot de passe qui suit l’enregistrement, ainsi que d’autres commandes liées au FTP. De plus, on va tenter de récupérer cette image à partir des données FTP.

Différentes requêtes réseau analysées avec Wireshark.

Maintenant, nous allons nous concentrer sur cette partie des données FTP (FTP data).

Différents échanges réseau effectués et analysés avec Wireshark.

Nous allons alors filtrer dessus en cliquant sur « Appliquer comme filtre« , puis en sélectionnant « ftp-data« . Ensuite, il suffit de faire un clic droit et de choisir « Suivre« , puis « Flux TCP« .

Données FTP capturées et analysées avec Wireshark.

On peut voir l’empreinte de l’image au format JPEG.

Effectuer un filtre sur les données réseau capturées avec Wireshark.

Nous allons cliquer sur « Brut » pour récupérer l’image en brut, puis nous allons l’enregistrer sur le bureau.

Empreinte de l'image capturée et analysée avec Wireshark.

Alors, nous ouvrons notre image comme vous pouvez le voir ci-dessus.

Récupération de l'image en format brut avec Wireshark pour analyse.

Extraire un exécutable malicieux d’une capture réseaux

Analyse à distance d'un exécutable malicieux avec réseau Wireshark blue teaming

Au niveau de votre analyse, vous rencontrerez plusieurs binaires qui ont été échangés lors du travail du TCP. Effectivement, c’est le cas lorsqu’un attaquant exploite une vulnérabilité et envoie leur charge malicieuse à travers le réseau après avoir exploité la vulnérabilité.

Résultats de la récupération des données avec Wireshark.

Pour trouver cette charge malicieuse, c’est très simple, il suffit de faire un clic droit puis de suivre le flux TCP.

Capture du réseau avec Wireshark pour analyse et sécurité.

Généralement, lorsque l’on suit un flux TCP, on voit cette interface qui affiche les données en brut. Maintenant, on va choisir « Enregistrer sous » et enregistrer les données sur notre disque.

Trouver un échange malicieux dans le trafic réseau avec Wireshark.

Maintenant, on peut se diriger vers VirusTotal pour voir si ce fichier binaire est malicieux ou pas, et le faire analyser.

Suivre le flux TCP capturé avec Wireshark pour analyse approfondie.

Conclusion

Maîtriser l’utilisation de Wireshark pour le réseau Wireshark blue teaming est indispensable pour toute équipe de sécurité informatique. En appliquant les techniques et les filtres présentés dans cet article, vous pourrez non seulement surveiller et analyser le trafic réseau de manière efficace, mais aussi identifier et neutraliser rapidement les menaces. Le blue teaming avec Wireshark vous offre les outils nécessaires pour renforcer la sécurité de votre réseau et garantir une protection continue contre les cyberattaques.

ÉTIQUETÉ : Blue teaming
Partager cet article
Par L'Équipe Alphorm Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.