Wireshark — Cheatsheet 2026

Tous les filtres et raccourcis Wireshark dont vous avez besoin — filtres d'affichage, filtres de capture (BPF), suivi des flux, analyse de protocoles, extraction d'identifiants et tshark. Pour l'analyse réseau, les CTF et les audits autorisés.

Dernière mise à jour :

Débutant ? Lisez notre guide complet pour débuter et situez l'analyse de paquets dans la méthodologie.

Navigation rapide

01 Affichage vs capture 02 Filtres d'affichage 03 Filtres de protocole 04 Filtres de capture (BPF) 05 Suivre les flux 06 Raccourcis clavier 07 Extraire identifiants & fichiers 08 Statistiques 09 tshark (CLI) 10 Déchiffrer le TLS

# Filtres d'affichage vs de capture

La distinction la plus importante dans Wireshark. Les filtres de capture décident ce qui est enregistré ; les filtres d'affichage affinent ce que vous voyez ensuite — syntaxe différente, objectif différent.

Filtre de captureFiltre d'affichage
SyntaxeBPF (tcpdump)Wireshark
Exemplehost 10.0.0.1 and port 80ip.addr==10.0.0.1 && tcp.port==80
QuandÀ la captureAprès la capture
ModifiableNon (fixe)Oui, à tout moment
💡 Astuce : utilisez les filtres de capture pour garder de grosses captures petites ; les filtres d'affichage pour l'analyse. Ils ne sont PAS interchangeables — tcp.port==80 est invalide comme filtre de capture.

# Filtres d'affichage — essentiels

Tapez-les dans la barre de filtre. Combinez avec && (et), || (ou), ! (non).

ip.addr == 10.0.0.1
Trafic vers OU depuis une IP
ip.src == 10.0.0.1 && ip.dst == 10.0.0.2
Source et destination précises
tcp.port == 443
Trafic TCP sur un port (peu importe le sens)
tcp.flags.syn == 1 && tcp.flags.ack == 0
Paquets SYN uniquement — repérer tentatives de connexion / scans
tcp.analysis.retransmission
Trouver les retransmissions (diagnostiquer perte/latence)
frame contains "password"
Matcher tout paquet contenant une chaîne
tcp matches "(?i)pass"
Regex insensible à la casse sur la charge utile TCP
!(arp || icmp || dns)
Masquer le bruit — exclure ARP, ICMP et DNS

# Filtres de protocole

Zoomez rapidement sur un seul protocole.

http.request.method == "POST"
Requêtes HTTP POST — portent souvent les logins
http.response.code == 200
Réponses HTTP réussies
dns.qry.name contains "example"
Requêtes DNS pour un domaine
tls.handshake.type == 1
TLS Client Hello — voir le SNI/hôte négocié
ftp || telnet
Protocoles en clair — susceptibles de fuiter des identifiants
smb2 || smb
Trafic SMB — partages de fichiers et authentification
kerberos
Kerberos — repérer AS-REQ/TGS pour les attaques AD
http.request.uri contains ".php"
Filtrer par motif d'URI

# Filtres de capture (BPF)

À définir avant la capture pour limiter ce qui est enregistré. Même syntaxe que tcpdump.

host 10.0.0.1
Seulement le trafic vers/depuis un hôte
net 10.0.0.0/24
Tout un sous-réseau
port 80 or port 443
Trafic web uniquement
tcp port 22 and host 10.0.0.5
SSH vers un hôte précis
not arp and not broadcast
Éliminer le bruit ARP et broadcast à la capture
ether host 00:11:22:33:44:55
Filtrer par adresse MAC

# Suivre les flux

Réassembler toute une conversation en texte lisible — le moyen le plus rapide de lire un échange.

Clic droit paquet → Suivre → Flux TCP
Réassembler toute la conversation TCP (Ctrl+Alt+Shift+T)
Suivre → Flux HTTP
Lire la requête/réponse HTTP en texte
Suivre → Flux UDP
Pour les protocoles UDP (DNS, syslog…)
tcp.stream == 3
Filtrer sur un seul flux par son index

# Raccourcis clavier

Accélérez la navigation et le marquage.

RaccourciAction
Ctrl+EDémarrer / arrêter la capture
Ctrl+KOptions de capture
Ctrl+/Aller à la barre de filtre
Ctrl+Alt+Shift+TSuivre le flux TCP
Ctrl+MMarquer / démarquer un paquet
Ctrl+GAller au numéro de paquet
Ctrl+FRechercher un paquet
Ctrl+TDéfinir/formater l'affichage du temps
💡 Astuce : clic droit sur un champ du panneau de détail → Appliquer comme colonne pour l'ajouter en colonne triable, et Appliquer comme filtre pour construire un filtre instantanément.

# Extraire identifiants & fichiers

Les protocoles en clair vous donnent les identifiants ; HTTP vous donne les fichiers.

Fichier → Exporter objets → HTTP
Sauvegarder tous les fichiers transférés via HTTP
Fichier → Exporter objets → SMB / TFTP
Extraire les fichiers des transferts SMB ou TFTP
ftp.request.command == "USER" || ftp.request.command == "PASS"
Identifiants FTP en clair
http.authorization
En-tête HTTP Basic Auth (base64 user:pass)
Outils → Identifiants (Wireshark 3.1+)
Lister automatiquement les identifiants trouvés dans la capture

# Statistiques & vue d'ensemble

Comprenez une capture d'un coup d'œil avant de plonger dans les paquets.

Statistiques → Hiérarchie des protocoles
Voir la répartition des protocoles de toute la capture
Statistiques → Conversations
Top talkers par IP/port — trouver les plus gros flux
Statistiques → Points de terminaison
Tous les hôtes vus, avec compteurs paquets/octets et géo-IP
Statistiques → Graphique E/S
Trafic dans le temps — repérer pics et balises (beacons)
Statistiques → HTTP → Requêtes
Chaque hôte et URL demandés

# tshark — ligne de commande

Le CLI de Wireshark pour le scripting, la capture distante et les gros fichiers. Même syntaxe de filtre d'affichage.

tshark -D
Lister les interfaces de capture disponibles
tshark -i eth0 -w out.pcap
Capturer sur eth0 vers un fichier
tshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uri
Afficher les hôtes et URI demandés d'une capture
tshark -r capture.pcap -q -z conv,tcp
Statistiques des conversations TCP en ligne de commande
tshark -r capture.pcap -Y "ftp.request.command==PASS" -T fields -e ftp.request.arg
Extraire les mots de passe FTP d'une capture
ssh user@host "tcpdump -i eth0 -U -w -" | wireshark -k -i -
Capture distante en direct via SSH dans Wireshark

# Déchiffrer le TLS/HTTPS

Il faut les clés de session — le chiffré seul ne peut pas être déchiffré.

export SSLKEYLOGFILE=~/tls-keys.log
À définir avant de lancer Chrome/Firefox pour journaliser les clés TLS
Préférences → Protocoles → TLS → (Pre)-Master-Secret log filename
Pointer Wireshark vers le fichier de clés pour déchiffrer le TLS
tshark -r capture.pcap -o tls.keylog_file:tls-keys.log -Y http2
Déchiffrer depuis tshark avec le fichier de clés

❓ FAQ Wireshark

Les filtres de capture (BPF, ex. host 10.0.0.1 and port 80) décident ce qui est enregistré et ne changent plus après. Les filtres d'affichage (ip.addr==10.0.0.1 && tcp.port==80) masquent/affichent les paquets capturés et changent librement.

Clic droit sur un paquet → Suivre → Flux TCP (ou Ctrl+Alt+Shift+T). Wireshark réassemble la conversation en texte lisible et coloré — le plus rapide pour lire du HTTP ou extraire des identifiants.

ip.addr == 10.0.0.1 (vers/depuis), ip.src == (source), ip.dst == (destination). Combinez avec &&, ||, !.

Fichiers : Fichier → Exporter objets → HTTP/SMB/TFTP. Identifiants : filtre http.request.method == POST ou Suivre le flux TCP. FTP, Telnet, HTTP et SNMP fuitent souvent en clair.

Le CLI de Wireshark — idéal pour le scripting et les gros fichiers. Ex. tshark -r cap.pcap -Y 'http.request' -T fields -e http.host. Même syntaxe de filtre que l'interface.

Sur un switch vous ne voyez que votre trafic + broadcasts. Pour voir les autres : port SPAN/miroir, tap, ou technique active comme l'ARP spoofing (tests autorisés uniquement). Le mode promiscuité seul ne suffit pas sur un switch.

Définissez SSLKEYLOGFILE avant de lancer le navigateur, puis pointez Wireshark vers ce fichier de clés (Préférences → Protocoles → TLS). Sans les clés, impossible de déchiffrer — capturer le chiffré ne suffit pas.

📚 Ressources liées

Rapport de pentest assisté par IA

Transformez vos découvertes de capture en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.

Essayer gratuitement →

Envie des 12 020+ commandes ?

Cette cheatsheet Wireshark n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.

Commencer gratuitement →