Wireshark tricks
提升你的 Wireshark 技能
教程
以下教程非常适合学习一些酷炫的基本技巧:
分析信息
专家信息
点击 分析 --> 专家信息 你将获得一个 概述,了解在 分析 的数据包中发生了什么:
已解析地址
在 统计 --> 已解析地址 下,你可以找到 Wireshark "已解析" 的多种 信息,如端口/传输到协议、MAC 到制造商等。了解通信中涉及的内容是很有趣的。
协议层次
在 统计 --> 协议层次 下,你可以找到通信中涉及的 协议 及其相关数据。
对话
在 统计 --> 对话 下,你可以找到通信中的 对话摘要 及其相关数据。
端点
在 统计 --> 端点 下,你可以找到通信中的 端点摘要 及其相关数据。
DNS 信息
在 统计 --> DNS 下,你可以找到捕获的 DNS 请求的统计信息。
I/O 图
在 统计 --> I/O 图 下,你可以找到 通信图。
过滤器
在这里你可以找到根据协议的 Wireshark 过滤器:https://www.wireshark.org/docs/dfref/ 其他有趣的过滤器:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量 + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP 和初始 HTTPS 流量 + TCP SYN + DNS 请求
搜索
如果你想在会话的 数据包 中 搜索 内容,请按 CTRL+f。你可以通过右键单击并编辑列来添加新的层到主信息栏(编号、时间、源等)。
免费 pcap 实验室
通过以下免费挑战进行练习: https://www.malware-traffic-analysis.net/
识别域名
你可以添加一个显示 Host HTTP 头的列:
以及一个添加发起 HTTPS 连接的服务器名称的列 (ssl.handshake.type == 1):
识别本地主机名
从 DHCP
在当前的 Wireshark 中,你需要搜索 DHCP
而不是 bootp
从 NBNS
解密 TLS
使用服务器私钥解密 HTTPS 流量
edit>preference>protocol>ssl>
按 编辑 并添加服务器和私钥的所有数据 (IP、端口、协议、密钥文件和密码)
使用对称会话密钥解密 HTTPS 流量
Firefox 和 Chrome 都具有记录 TLS 会话密钥的能力,这可以与 Wireshark 一起使用以解密 TLS 流量。这允许对安全通信进行深入分析。有关如何执行此解密的更多详细信息,请参阅 Red Flag Security 的指南。
要检测此内容,请在环境中搜索变量 SSLKEYLOGFILE
共享密钥的文件看起来像这样:
要在 Wireshark 中导入此文件,请转到 _edit > preference > protocol > ssl > 并将其导入 (Pre)-Master-Secret 日志文件名:
ADB 通信
从 ADB 通信中提取 APK,其中 APK 被发送:
Last updated