Wireshark tricks
Improve your Wireshark skills
Tutorials
Наступні навчальні посібники чудово підходять для вивчення деяких основних трюків:
Analysed Information
Expert Information
Клацнувши на Analyze --> Expert Information, ви отримаєте огляд того, що відбувається в аналізованих пакетах:
Resolved Addresses
У Statistics --> Resolved Addresses ви можете знайти кілька інформації, яка була "розв'язана" Wireshark, наприклад, порт/транспорт до протоколу, MAC до виробника тощо. Цікаво знати, що залучено в комунікацію.
Protocol Hierarchy
У Statistics --> Protocol Hierarchy ви можете знайти протоколи, залучені в комунікацію, та дані про них.
Conversations
У Statistics --> Conversations ви можете знайти резюме розмов у комунікації та дані про них.
Endpoints
У Statistics --> Endpoints ви можете знайти резюме кінцевих точок у комунікації та дані про кожну з них.
DNS info
У Statistics --> DNS ви можете знайти статистику про захоплені DNS запити.
I/O Graph
У Statistics --> I/O Graph ви можете знайти графік комунікації.
Filters
Тут ви можете знайти фільтри Wireshark в залежності від протоколу: https://www.wireshark.org/docs/dfref/ Інші цікаві фільтри:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP та початковий HTTPS трафік + TCP SYN + DNS запити
Search
Якщо ви хочете шукати вміст всередині пакетів сесій, натисніть CTRL+f. Ви можете додати нові шари до основної інформаційної панелі (No., Time, Source тощо), натиснувши праву кнопку миші, а потім редагуючи стовпець.
Free pcap labs
Практикуйтеся з безкоштовними викликами на: https://www.malware-traffic-analysis.net/
Identifying Domains
Ви можете додати стовпець, який показує заголовок Host HTTP:
І стовпець, який додає ім'я сервера з ініціюючого HTTPS з'єднання (ssl.handshake.type == 1):
Identifying local hostnames
From DHCP
У сучасному Wireshark замість bootp
вам потрібно шукати DHCP
From NBNS
Decrypting TLS
Decrypting https traffic with server private key
edit>preference>protocol>ssl>
Натисніть Edit і додайте всі дані сервера та приватний ключ (IP, Port, Protocol, Key file and password)
Decrypting https traffic with symmetric session keys
Як Firefox, так і Chrome мають можливість записувати TLS сесійні ключі, які можна використовувати з Wireshark для розшифровки TLS трафіку. Це дозволяє проводити детальний аналіз захищених комунікацій. Більше деталей про те, як виконати це розшифрування, можна знайти в посібнику на Red Flag Security.
Щоб виявити це, шукайте в середовищі змінну SSLKEYLOGFILE
Файл спільних ключів виглядатиме так:
Щоб імпортувати це в Wireshark, перейдіть до _edit > preference > protocol > ssl > і імпортуйте його в (Pre)-Master-Secret log filename:
ADB communication
Витягніть APK з ADB комунікації, де APK був надісланий:
Last updated