Wireshark — Ferramentas CySA+

Wireshark

Wireshark Foundation

Analisador gráfico de pacotes padrão da indústria com dissecação profunda de protocolos.

Reconhecimento e Monitoramento de Rede Gratuito e Open Source GUI Praticado em Lab Cross-platform

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O Wireshark é a referência em captura e análise de pacotes. Um analista CySA+ usa diariamente para investigar fluxos suspeitos, decodificar protocolos, extrair arquivos de streams e construir IOCs.

Pontos-chave:

Mais de 3.000 dissectors — HTTP, TLS, SMB, DNS, Kerberos, RDP, protocolos industriais (Modbus, S7).
Filtros de exibição precisos e encadeáveis.
Follow Stream reconstrói uma conversa TCP/UDP inteira.
Export Objects extrai arquivos transferidos via HTTP/SMB/FTP.
Statistics → Conversations / IO Graphs / Expert Info evidenciam beaconing e anomalias de protocolo.

Casos de uso

Investigação de padrões de C2/beaconing
Decodificação TLS com chaves pré-mestre para análise de malware
Extração de arquivos suspeitos de fluxos HTTP/SMB capturados
Validação de alertas de IDS contra os pacotes brutos

Exemplo

# Common display filters
http.request.method == "POST" and ip.dst == 10.0.0.5
dns.qry.name contains "evil.com"
tcp.flags.syn == 1 and tcp.flags.ack == 0   # SYN scans