Wireshark tricks

Verbeter jou Wireshark vaardighede

Tutorials

Die volgende tutorials is wonderlik om 'n paar koel basiese truuks te leer:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Geanaliseerde Inligting

Deskundige Inligting

Deur te klik op Analiseer --> Deskundige Inligting sal jy 'n oorsig hê van wat in die pakkette geanaliseer word:

Opgeloste Adresse

Onder Statistieke --> Opgeloste Adresse kan jy verskeie inligting vind wat deur wireshark "opgelos" is soos poort/transport na protokol, MAC na die vervaardiger, ens. Dit is interessant om te weet wat betrokke is in die kommunikasie.

Protokol Hiërargie

Onder Statistieke --> Protokol Hiërargie kan jy die protokolle betrokke in die kommunikasie en data oor hulle vind.

Gesprekke

Onder Statistieke --> Gesprekke kan jy 'n opsomming van die gesprekke in die kommunikasie en data oor hulle vind.

Eindpunte

Onder Statistieke --> Eindpunte kan jy 'n opsomming van die eindpunte in die kommunikasie en data oor elkeen van hulle vind.

DNS inligting

Onder Statistieke --> DNS kan jy statistieke oor die DNS versoek wat gevang is vind.

I/O Grafiek

Onder Statistieke --> I/O Grafiek kan jy 'n grafiek van die kommunikasie vind.

Filters

Hier kan jy wireshark filter vind afhangende van die protokol: https://www.wireshark.org/docs/dfref/ Ander interessante filters:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP en aanvanklike HTTPS verkeer

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP en aanvanklike HTTPS verkeer + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP en aanvanklike HTTPS verkeer + TCP SYN + DNS versoeke

Soek

As jy wil soek vir inhoud binne die pakkette van die sessies druk CTRL+f. Jy kan nuwe lae by die hoofinligtingbalk (No., Tyd, Bron, ens.) voeg deur die regterknoppie te druk en dan die kolom te redigeer.

Gratis pcap laboratoriums

Oefen met die gratis uitdagings van: https://www.malware-traffic-analysis.net/

Identifisering van Domeine

Jy kan 'n kolom byvoeg wat die Host HTTP koptekst wys:

En 'n kolom wat die Bediener naam van 'n inisierende HTTPS verbinding byvoeg (ssl.handshake.type == 1):

Identifisering van plaaslike gasheurname

Van DHCP

In die huidige Wireshark in plaas van bootp moet jy soek na DHCP

Van NBNS

Ontsleuteling van TLS

Ontsleuteling van https verkeer met bediener se privaat sleutel

edit>voorkeur>protokol>ssl>

Druk Edit en voeg al die data van die bediener en die privaat sleutel (IP, Poort, Protokol, Sleutel lêer en wagwoord)

Ontsleuteling van https verkeer met simmetriese sessiesleutels

Sowel Firefox as Chrome het die vermoë om TLS sessiesleutels te log, wat gebruik kan word met Wireshark om TLS verkeer te ontsleutel. Dit stel in staat tot diepgaande analise van veilige kommunikasies. Meer besonderhede oor hoe om hierdie ontsleuteling uit te voer kan gevind word in 'n gids by Red Flag Security.

Om dit te detecteer soek binne die omgewing na die veranderlike SSLKEYLOGFILE

'n Lêer van gedeelde sleutels sal soos volg lyk:

Om dit in wireshark te importeer gaan na _edit > voorkeur > protokol > ssl > en importeer dit in (Pre)-Master-Secret log lêernaam:

ADB kommunikasie

Onthaal 'n APK uit 'n ADB kommunikasie waar die APK gestuur is:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()