Wireshark tricks

Improve your Wireshark skills

Tutorials

Наступні навчальні посібники чудово підходять для вивчення деяких основних трюків:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analysed Information

Expert Information

Клацнувши на Analyze --> Expert Information, ви отримаєте огляд того, що відбувається в аналізованих пакетах:

Resolved Addresses

У Statistics --> Resolved Addresses ви можете знайти кілька інформації, яка була "розв'язана" Wireshark, наприклад, порт/транспорт до протоколу, MAC до виробника тощо. Цікаво знати, що залучено в комунікацію.

Protocol Hierarchy

У Statistics --> Protocol Hierarchy ви можете знайти протоколи, залучені в комунікацію, та дані про них.

Conversations

У Statistics --> Conversations ви можете знайти резюме розмов у комунікації та дані про них.

Endpoints

У Statistics --> Endpoints ви можете знайти резюме кінцевих точок у комунікації та дані про кожну з них.

DNS info

У Statistics --> DNS ви можете знайти статистику про захоплені DNS запити.

I/O Graph

У Statistics --> I/O Graph ви можете знайти графік комунікації.

Filters

Тут ви можете знайти фільтри Wireshark в залежності від протоколу: https://www.wireshark.org/docs/dfref/ Інші цікаві фільтри:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP та початковий HTTPS трафік

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP та початковий HTTPS трафік + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP та початковий HTTPS трафік + TCP SYN + DNS запити

Search

Якщо ви хочете шукати вміст всередині пакетів сесій, натисніть CTRL+f. Ви можете додати нові шари до основної інформаційної панелі (No., Time, Source тощо), натиснувши праву кнопку миші, а потім редагуючи стовпець.

Free pcap labs

Практикуйтеся з безкоштовними викликами на: https://www.malware-traffic-analysis.net/

Identifying Domains

Ви можете додати стовпець, який показує заголовок Host HTTP:

І стовпець, який додає ім'я сервера з ініціюючого HTTPS з'єднання (ssl.handshake.type == 1):

Identifying local hostnames

From DHCP

У сучасному Wireshark замість bootp вам потрібно шукати DHCP

From NBNS

Decrypting TLS

Decrypting https traffic with server private key

edit>preference>protocol>ssl>

Натисніть Edit і додайте всі дані сервера та приватний ключ (IP, Port, Protocol, Key file and password)

Decrypting https traffic with symmetric session keys

Як Firefox, так і Chrome мають можливість записувати TLS сесійні ключі, які можна використовувати з Wireshark для розшифровки TLS трафіку. Це дозволяє проводити детальний аналіз захищених комунікацій. Більше деталей про те, як виконати це розшифрування, можна знайти в посібнику на Red Flag Security.

Щоб виявити це, шукайте в середовищі змінну SSLKEYLOGFILE

Файл спільних ключів виглядатиме так:

Щоб імпортувати це в Wireshark, перейдіть до _edit > preference > protocol > ssl > і імпортуйте його в (Pre)-Master-Secret log filename:

ADB communication

Витягніть APK з ADB комунікації, де APK був надісланий:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()