Wireshark tricks

Improve your Wireshark skills

Tutorials

निम्नलिखित ट्यूटोरियल कुछ शानदार बुनियादी ट्रिक्स सीखने के लिए अद्भुत हैं:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analysed Information

Expert Information

Analyze --> Expert Information पर क्लिक करने से आपको पैकेट्स में हो रही गतिविधियों का अवलोकन मिलेगा:

Resolved Addresses

Statistics --> Resolved Addresses के तहत आप कई जानकारी पा सकते हैं जो wireshark द्वारा "resolved" की गई है जैसे पोर्ट/परिवहन से प्रोटोकॉल, MAC से निर्माता, आदि। यह जानना दिलचस्प है कि संचार में क्या शामिल है।

Protocol Hierarchy

Statistics --> Protocol Hierarchy के तहत आप संचार में शामिल प्रोटोकॉल और उनके बारे में डेटा पा सकते हैं।

Conversations

Statistics --> Conversations के तहत आप संचार में संवादों का सारांश और उनके बारे में डेटा पा सकते हैं।

Endpoints

Statistics --> Endpoints के तहत आप संचार में एंडपॉइंट्स का सारांश और उनके बारे में डेटा पा सकते हैं।

DNS info

Statistics --> DNS के तहत आप कैप्चर किए गए DNS अनुरोध के बारे में आंकड़े पा सकते हैं।

I/O Graph

Statistics --> I/O Graph के तहत आप संचार का ग्राफ पा सकते हैं।

Filters

यहां आप प्रोटोकॉल के आधार पर wireshark फ़िल्टर पा सकते हैं: https://www.wireshark.org/docs/dfref/ अन्य दिलचस्प फ़िल्टर:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफ़िक

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफ़िक + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफ़िक + TCP SYN + DNS अनुरोध

Search

यदि आप सत्रों के पैकेट्स के अंदर सामग्री के लिए खोज करना चाहते हैं तो CTRL+f दबाएं। आप मुख्य जानकारी बार (No., Time, Source, आदि) में नए लेयर जोड़ सकते हैं, दाएं बटन को दबाकर और फिर कॉलम संपादित करके।

Free pcap labs

मुफ्त चुनौतियों के साथ अभ्यास करें: https://www.malware-traffic-analysis.net/

Identifying Domains

आप एक कॉलम जोड़ सकते हैं जो Host HTTP हेडर दिखाता है:

और एक कॉलम जो एक प्रारंभिक HTTPS कनेक्शन से सर्वर नाम जोड़ता है (ssl.handshake.type == 1):

Identifying local hostnames

From DHCP

वर्तमान Wireshark में bootp के बजाय आपको DHCP के लिए खोज करनी होगी

From NBNS

Decrypting TLS

Decrypting https traffic with server private key

edit>preference>protocol>ssl>

संपादित करें और सर्वर और निजी कुंजी का सभी डेटा (IP, Port, Protocol, Key file और password) जोड़ें।

Decrypting https traffic with symmetric session keys

Firefox और Chrome दोनों में TLS सत्र कुंजी लॉग करने की क्षमता होती है, जिसका उपयोग Wireshark के साथ TLS ट्रैफ़िक को डिक्रिप्ट करने के लिए किया जा सकता है। यह सुरक्षित संचार का गहन विश्लेषण करने की अनुमति देता है। इस डिक्रिप्शन को कैसे करना है, इस पर अधिक जानकारी Red Flag Security में एक गाइड में पाई जा सकती है।

इसका पता लगाने के लिए वातावरण के अंदर SSLKEYLOGFILE वेरिएबल के लिए खोजें।

साझा कुंजियों की एक फ़ाइल इस तरह दिखेगी:

इसे wireshark में आयात करने के लिए _edit > preference > protocol > ssl > और इसे (Pre)-Master-Secret लॉग फ़ाइल नाम में आयात करें:

ADB communication

ADB संचार से एक APK निकालें जहां APK भेजा गया था:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()