Wireshark tricks
Improve your Wireshark skills
Tutorials
Τα παρακάτω tutorials είναι καταπληκτικά για να μάθετε μερικά βασικά κόλπα:
Analysed Information
Expert Information
Κάνοντας κλικ στο Analyze --> Expert Information θα έχετε μια επισκόπηση του τι συμβαίνει στα πακέτα που αναλύθηκαν:
Resolved Addresses
Κάτω από Statistics --> Resolved Addresses μπορείτε να βρείτε πολλές πληροφορίες που "έχουν επιλυθεί" από το wireshark όπως θύρα/μεταφορά σε πρωτόκολλο, MAC στον κατασκευαστή, κ.λπ. Είναι ενδιαφέρον να γνωρίζετε τι εμπλέκεται στην επικοινωνία.
Protocol Hierarchy
Κάτω από Statistics --> Protocol Hierarchy μπορείτε να βρείτε τα πρωτόκολλα που εμπλέκονται στην επικοινωνία και δεδομένα σχετικά με αυτά.
Conversations
Κάτω από Statistics --> Conversations μπορείτε να βρείτε μια σύνοψη των συνομιλιών στην επικοινωνία και δεδομένα σχετικά με αυτές.
Endpoints
Κάτω από Statistics --> Endpoints μπορείτε να βρείτε μια σύνοψη των endpoints στην επικοινωνία και δεδομένα σχετικά με το καθένα από αυτά.
DNS info
Κάτω από Statistics --> DNS μπορείτε να βρείτε στατιστικά σχετικά με το DNS αίτημα που καταγράφηκε.
I/O Graph
Κάτω από Statistics --> I/O Graph μπορείτε να βρείτε ένα γράφημα της επικοινωνίας.
Filters
Εδώ μπορείτε να βρείτε φίλτρα wireshark ανάλογα με το πρωτόκολλο: https://www.wireshark.org/docs/dfref/ Άλλα ενδιαφέροντα φίλτρα:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)HTTP και αρχική κίνηση HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)HTTP και αρχική κίνηση HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)HTTP και αρχική κίνηση HTTPS + TCP SYN + DNS αιτήματα
Search
Αν θέλετε να αναζητήσετε περιεχόμενο μέσα στα πακέτα των συνεδριών πατήστε CTRL+f. Μπορείτε να προσθέσετε νέα επίπεδα στη βασική γραμμή πληροφοριών (No., Χρόνος, Πηγή, κ.λπ.) πατώντας το δεξί κουμπί και στη συνέχεια την επεξεργασία στήλης.
Free pcap labs
Εξασκηθείτε με τις δωρεάν προκλήσεις του: https://www.malware-traffic-analysis.net/
Identifying Domains
Μπορείτε να προσθέσετε μια στήλη που να δείχνει την κεφαλίδα Host HTTP:
Και μια στήλη που προσθέτει το όνομα του διακομιστή από μια αρχική σύνδεση HTTPS (ssl.handshake.type == 1):
Identifying local hostnames
From DHCP
Στην τρέχουσα έκδοση του Wireshark αντί για bootp πρέπει να αναζητήσετε DHCP
From NBNS
Decrypting TLS
Decrypting https traffic with server private key
edit>preference>protocol>ssl>
Πατήστε Edit και προσθέστε όλα τα δεδομένα του διακομιστή και το ιδιωτικό κλειδί (IP, Θύρα, Πρωτόκολλο, Αρχείο κλειδιού και κωδικό πρόσβασης)
Decrypting https traffic with symmetric session keys
Και οι δύο Firefox και Chrome έχουν τη δυνατότητα να καταγράφουν τα κλειδιά συνεδρίας TLS, τα οποία μπορούν να χρησιμοποιηθούν με το Wireshark για να αποκρυπτογραφήσουν την κίνηση TLS. Αυτό επιτρέπει σε βάθος ανάλυση των ασφαλών επικοινωνιών. Περισσότερες λεπτομέρειες σχετικά με το πώς να εκτελέσετε αυτήν την αποκρυπτογράφηση μπορείτε να βρείτε σε έναν οδηγό στο Red Flag Security.
Για να το ανιχνεύσετε αναζητήστε μέσα στο περιβάλλον τη μεταβλητή SSLKEYLOGFILE
Ένα αρχείο κοινών κλειδιών θα φαίνεται έτσι:
Για να το εισάγετε στο wireshark πηγαίνετε στο _edit > preference > protocol > ssl > και εισάγετε το στο (Pre)-Master-Secret log filename:
ADB communication
Εξαγάγετε ένα APK από μια επικοινωνία ADB όπου το APK στάλθηκε:
Last updated
