Wireshark tricks

Poboljšajte svoje veštine u Wireshark-u

Tutorijali

Sledeći tutorijali su sjajni za učenje nekih cool osnovnih trikova:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analizirane informacije

Expert informacije

Klikom na Analiziraj --> Expert informacije dobićete pregled onoga što se dešava u analiziranim paketima:

Rešene adrese

Pod Statistika --> Rešene adrese možete pronaći nekoliko informacija koje je Wireshark "rešio", kao što su port/transport do protokola, MAC do proizvođača itd. Zanimljivo je znati šta je uključeno u komunikaciju.

Hijerarhija protokola

Pod Statistika --> Hijerarhija protokola možete pronaći protokole uključene u komunikaciju i podatke o njima.

Razgovori

Pod Statistika --> Razgovori možete pronaći rezime razgovora u komunikaciji i podatke o njima.

Krajnje tačke

Pod Statistika --> Krajnje tačke možete pronaći rezime krajnjih tačaka u komunikaciji i podatke o svakoj od njih.

DNS informacije

Pod Statistika --> DNS možete pronaći statistiku o uhvaćenim DNS zahtevima.

I/O graf

Pod Statistika --> I/O graf možete pronaći graf komunikacije.

Filteri

Ovde možete pronaći Wireshark filtere u zavisnosti od protokola: https://www.wireshark.org/docs/dfref/ Ostali zanimljivi filteri:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP i inicijalni HTTPS saobraćaj

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP i inicijalni HTTPS saobraćaj + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP i inicijalni HTTPS saobraćaj + TCP SYN + DNS zahtevi

Pretraga

Ako želite da pretražujete sadržaj unutar paketa sesija pritisnite CTRL+f. Možete dodati nove slojeve u glavnu informativnu traku (Br., Vreme, Izvor itd.) pritiskom desnog dugmeta i zatim uređivanjem kolone.

Besplatni pcap laboratoriji

Vežbajte sa besplatnim izazovima: https://www.malware-traffic-analysis.net/

Identifikacija domena

Možete dodati kolonu koja prikazuje Host HTTP zaglavlje:

I kolonu koja dodaje ime servera iz inicijalne HTTPS veze (ssl.handshake.type == 1):

Identifikacija lokalnih imena hostova

Iz DHCP

U trenutnom Wireshark-u umesto bootp treba da tražite DHCP

Iz NBNS

Dekriptovanje TLS

Dekriptovanje https saobraćaja sa privatnim ključem servera

edit>preference>protocol>ssl>

Pritisnite Edit i dodajte sve podatke o serveru i privatnom ključu (IP, Port, Protokol, Datoteka ključa i lozinka)

Dekriptovanje https saobraćaja sa simetričnim sesijskim ključevima

I Firefox i Chrome imaju mogućnost da beleže TLS sesijske ključeve, koji se mogu koristiti sa Wireshark-om za dekriptovanje TLS saobraćaja. Ovo omogućava dubinsku analizu sigurnih komunikacija. Više detalja o tome kako izvršiti ovo dekriptovanje može se naći u vodiču na Red Flag Security.

Da biste to otkrili, pretražujte unutar okruženja za promenljivu SSLKEYLOGFILE

Datoteka deljenih ključeva će izgledati ovako:

Da biste to uvezli u Wireshark, idite na _edit > preference > protocol > ssl > i uvezite to u (Pre)-Master-Secret log filename:

ADB komunikacija

Izvucite APK iz ADB komunikacije gde je APK poslat:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()