# Filtres d'affichage vs de capture
La distinction la plus importante dans Wireshark. Les filtres de capture décident ce qui est enregistré ; les filtres d'affichage affinent ce que vous voyez ensuite — syntaxe différente, objectif différent.
| Filtre de capture | Filtre d'affichage | |
|---|---|---|
| Syntaxe | BPF (tcpdump) | Wireshark |
| Exemple | host 10.0.0.1 and port 80 | ip.addr==10.0.0.1 && tcp.port==80 |
| Quand | À la capture | Après la capture |
| Modifiable | Non (fixe) | Oui, à tout moment |
tcp.port==80 est invalide comme filtre de capture.# Filtres d'affichage — essentiels
Tapez-les dans la barre de filtre. Combinez avec && (et), || (ou), ! (non).
ip.addr == 10.0.0.1ip.src == 10.0.0.1 && ip.dst == 10.0.0.2tcp.port == 443tcp.flags.syn == 1 && tcp.flags.ack == 0tcp.analysis.retransmissionframe contains "password"tcp matches "(?i)pass"!(arp || icmp || dns)# Filtres de protocole
Zoomez rapidement sur un seul protocole.
http.request.method == "POST"http.response.code == 200dns.qry.name contains "example"tls.handshake.type == 1ftp || telnetsmb2 || smbkerberoshttp.request.uri contains ".php"# Filtres de capture (BPF)
À définir avant la capture pour limiter ce qui est enregistré. Même syntaxe que tcpdump.
host 10.0.0.1net 10.0.0.0/24port 80 or port 443tcp port 22 and host 10.0.0.5not arp and not broadcastether host 00:11:22:33:44:55# Suivre les flux
Réassembler toute une conversation en texte lisible — le moyen le plus rapide de lire un échange.
Clic droit paquet → Suivre → Flux TCPSuivre → Flux HTTPSuivre → Flux UDPtcp.stream == 3# Raccourcis clavier
Accélérez la navigation et le marquage.
| Raccourci | Action |
|---|---|
| Ctrl+E | Démarrer / arrêter la capture |
| Ctrl+K | Options de capture |
| Ctrl+/ | Aller à la barre de filtre |
| Ctrl+Alt+Shift+T | Suivre le flux TCP |
| Ctrl+M | Marquer / démarquer un paquet |
| Ctrl+G | Aller au numéro de paquet |
| Ctrl+F | Rechercher un paquet |
| Ctrl+T | Définir/formater l'affichage du temps |
# Extraire identifiants & fichiers
Les protocoles en clair vous donnent les identifiants ; HTTP vous donne les fichiers.
Fichier → Exporter objets → HTTPFichier → Exporter objets → SMB / TFTPftp.request.command == "USER" || ftp.request.command == "PASS"http.authorizationOutils → Identifiants (Wireshark 3.1+)# Statistiques & vue d'ensemble
Comprenez une capture d'un coup d'œil avant de plonger dans les paquets.
Statistiques → Hiérarchie des protocolesStatistiques → ConversationsStatistiques → Points de terminaisonStatistiques → Graphique E/SStatistiques → HTTP → Requêtes# tshark — ligne de commande
Le CLI de Wireshark pour le scripting, la capture distante et les gros fichiers. Même syntaxe de filtre d'affichage.
tshark -Dtshark -i eth0 -w out.pcaptshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uritshark -r capture.pcap -q -z conv,tcptshark -r capture.pcap -Y "ftp.request.command==PASS" -T fields -e ftp.request.argssh user@host "tcpdump -i eth0 -U -w -" | wireshark -k -i -# Déchiffrer le TLS/HTTPS
Il faut les clés de session — le chiffré seul ne peut pas être déchiffré.
export SSLKEYLOGFILE=~/tls-keys.logPréférences → Protocoles → TLS → (Pre)-Master-Secret log filenametshark -r capture.pcap -o tls.keylog_file:tls-keys.log -Y http2❓ FAQ Wireshark
Les filtres de capture (BPF, ex. host 10.0.0.1 and port 80) décident ce qui est enregistré et ne changent plus après. Les filtres d'affichage (ip.addr==10.0.0.1 && tcp.port==80) masquent/affichent les paquets capturés et changent librement.
Clic droit sur un paquet → Suivre → Flux TCP (ou Ctrl+Alt+Shift+T). Wireshark réassemble la conversation en texte lisible et coloré — le plus rapide pour lire du HTTP ou extraire des identifiants.
ip.addr == 10.0.0.1 (vers/depuis), ip.src == (source), ip.dst == (destination). Combinez avec &&, ||, !.
Fichiers : Fichier → Exporter objets → HTTP/SMB/TFTP. Identifiants : filtre http.request.method == POST ou Suivre le flux TCP. FTP, Telnet, HTTP et SNMP fuitent souvent en clair.
Le CLI de Wireshark — idéal pour le scripting et les gros fichiers. Ex. tshark -r cap.pcap -Y 'http.request' -T fields -e http.host. Même syntaxe de filtre que l'interface.
Sur un switch vous ne voyez que votre trafic + broadcasts. Pour voir les autres : port SPAN/miroir, tap, ou technique active comme l'ARP spoofing (tests autorisés uniquement). Le mode promiscuité seul ne suffit pas sur un switch.
Définissez SSLKEYLOGFILE avant de lancer le navigateur, puis pointez Wireshark vers ce fichier de clés (Préférences → Protocoles → TLS). Sans les clés, impossible de déchiffrer — capturer le chiffré ne suffit pas.
📚 Ressources liées
- Cheatsheet Nmap — Scanner pour trouver les hôtes, puis capturer leur trafic dans Wireshark
- Cheatsheet Hashcat — Casser les hash NetNTLMv2 ou WPA reniflés sur le réseau
- Cheatsheet Pentest complète — 200+ commandes pour web, réseau, AD et privesc
- Glossaire du pentest — Paquet, BPF, MITM, mode promiscuité et 60+ termes clés
Transformez vos découvertes de capture en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité.
Envie des 12 020+ commandes ?
Cette cheatsheet Wireshark n'est qu'une branche de la carte. Pentest Mindmap organise 12 020+ commandes en 34 catégories — de la recon à la post-exploitation — avec recherche instantanée et copie en un clic.
Commencer gratuitement →