Wireshark — Bases de l'analyse réseau : capture, protocoles, filtres
Capturer et lire du trafic réseau avec Wireshark : zones de l'interface, modèles en couches, filtres, analyse d'ARP/DHCP/DNS et de HTTP vs HTTPS. Captures .pcapng fournies, séquence autoportante.
Le contexte
Un technicien qui intervient sur un réseau doit pouvoir prouver ce qui circule : quel poste parle à quel serveur, avec quel protocole, et si les échanges sont en clair ou chiffrés. L’outil de référence pour ça, c’est Wireshark. Cette séquence pose les bases : on apprend à capturer, à filtrer et à lire une trame, puis à reconnaître les protocoles courants (ARP, DHCP, DNS) et à mesurer concrètement la différence entre HTTP et HTTPS.
L’élève entre dans la peau d’un technicien junior d’une PME de services réseau qui prend en main l’outil pour analyser le trafic d’un client.
Problématique : comment capturer, filtrer et interpréter le trafic d’un réseau pour comprendre ce qui s’y passe réellement, protocole par protocole ?
Livrable observable — Captures annotées + fiches d’analyse protocolaire complétées + comparaison argumentée HTTP / HTTPS.
Autoportante : les captures sont fournies
Pas besoin de générer du trafic réseau en direct : les 4 captures .pcapng sont dans le pack, prêtes à ouvrir dans Wireshark. L’élève charge le fichier, applique les filtres, lit les trames. Il suffit d’avoir Wireshark installé (gratuit, open source). Les captures contiennent uniquement du trafic synthétique (DHCP, DNS, HTTP, HTTPS) — aucune donnée réelle.
Le plan séance par séance
| Séance | Durée | Type | Objectif |
|---|---|---|---|
| S1 | 3 h | TP | Premiers pas Wireshark : interface, capture, filtre ICMP, lecture d’une trame |
| S2 | 1 h | Cours | Formaliser les modèles OSI / TCP-IP et l’encapsulation |
| S3 | 3 h | TP | Analyse protocolaire : ARP, DHCP (DORA), DNS (A, NXDOMAIN) |
| S4 | 1 h | Cours | Formaliser ARP/DHCP/DNS, la syntaxe des filtres, la méthode de lecture |
| S5 | 2 h | TP | HTTP vs HTTPS : trafic en clair, chiffrement TLS, export d’objet |
| S6 | 2 h | Éval | Situation nouvelle autonome — analyse d’un trafic client différent |
Guidage dégressif : novice maximal en TP1 (1 action = 1 étape), puis allègement progressif en TP2 et TP3 conditionné à la réussite des TP précédents.
Ce que les élèves repartent capables de faire
- Lancer une capture Wireshark et repérer les 3 zones de l’interface
- Construire un filtre d’affichage (ICMP, ARP, DHCP, DNS, HTTP, TLS…)
- Lire une trame couche par couche et nommer l’encapsulation (modèles OSI / TCP-IP)
- Décoder un échange DHCP (DORA) et une résolution DNS (réponse A, NXDOMAIN)
- Distinguer concrètement HTTP (en clair) et HTTPS (chiffré) et en tirer les conséquences de sécurité
- Sur une capture HTTP, retrouver et exporter l’objet transféré
Pour aller plus loin
Cette séquence est la fondation de tout le travail d’analyse réseau et de cybersécurité de l’année : une fois Wireshark maîtrisé, l’outil revient en surveillance réseau et en analyse d’incident. Les deux cours intercalés (modèles en couches, puis protocoles & filtres) servent de trace écrite réutilisable. L’évaluation place l’élève en autonomie totale sur un trafic client qu’il n’a jamais vu.
Documents inclus dans le ZIP
Inventaire généré depuis l'archive publique contrôlée le 2026-06-21.
Compétences du référentiel visées
Codes du référentiel Bac Pro CIEL.