Wireshark tricks
Verbessere deine Wireshark-Fähigkeiten
Tutorials
Die folgenden Tutorials sind großartig, um einige coole grundlegende Tricks zu lernen:
Analysierte Informationen
Experteninformationen
Durch Klicken auf Analyse --> Experteninformationen erhältst du eine Übersicht darüber, was in den analysierten Paketen passiert:
Aufgelöste Adressen
Unter Statistiken --> Aufgelöste Adressen findest du mehrere Informationen, die von Wireshark "aufgelöst" wurden, wie Port/Transport zu Protokoll, MAC zu Hersteller usw. Es ist interessant zu wissen, was an der Kommunikation beteiligt ist.
Protokollhierarchie
Unter Statistiken --> Protokollhierarchie findest du die Protokolle, die an der Kommunikation beteiligt sind, sowie Daten über sie.
Gespräche
Unter Statistiken --> Gespräche findest du eine Zusammenfassung der Gespräche in der Kommunikation und Daten darüber.
Endpunkte
Unter Statistiken --> Endpunkte findest du eine Zusammenfassung der Endpunkte in der Kommunikation und Daten über jeden von ihnen.
DNS-Info
Unter Statistiken --> DNS findest du Statistiken über die erfassten DNS-Anfragen.
I/O-Diagramm
Unter Statistiken --> I/O-Diagramm findest du ein Diagramm der Kommunikation.
Filter
Hier findest du Wireshark-Filter je nach Protokoll: https://www.wireshark.org/docs/dfref/ Weitere interessante Filter:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN + DNS-Anfragen
Suche
Wenn du nach Inhalten innerhalb der Pakete der Sitzungen suchen möchtest, drücke CTRL+f. Du kannst neue Ebenen zur Hauptinformationsleiste (Nr., Zeit, Quelle usw.) hinzufügen, indem du mit der rechten Maustaste klickst und dann die Spalte bearbeitest.
Kostenlose pcap-Labore
Übe mit den kostenlosen Herausforderungen von: https://www.malware-traffic-analysis.net/
Identifizierung von Domains
Du kannst eine Spalte hinzufügen, die den Host-HTTP-Header anzeigt:
Und eine Spalte, die den Servernamen von einer initiierenden HTTPS-Verbindung (ssl.handshake.type == 1) hinzufügt:
Identifizierung lokaler Hostnamen
Von DHCP
In der aktuellen Wireshark-Version musst du anstelle von bootp
nach DHCP
suchen.
Von NBNS
TLS entschlüsseln
Entschlüsselung von HTTPS-Verkehr mit dem privaten Schlüssel des Servers
edit>präferenz>protokoll>ssl>
Drücke Bearbeiten und füge alle Daten des Servers und den privaten Schlüssel (IP, Port, Protokoll, Schlüsseldatei und Passwort) hinzu.
Entschlüsselung von HTTPS-Verkehr mit symmetrischen Sitzungsschlüsseln
Sowohl Firefox als auch Chrome haben die Fähigkeit, TLS-Sitzungsschlüssel zu protokollieren, die mit Wireshark verwendet werden können, um TLS-Verkehr zu entschlüsseln. Dies ermöglicht eine eingehende Analyse sicherer Kommunikation. Weitere Details zur Durchführung dieser Entschlüsselung findest du in einem Leitfaden bei Red Flag Security.
Um dies zu erkennen, suche in der Umgebung nach der Variablen SSLKEYLOGFILE
.
Eine Datei mit gemeinsamen Schlüsseln sieht so aus:
Um dies in Wireshark zu importieren, gehe zu _bearbeiten > präferenz > protokoll > ssl > und importiere es in (Pre)-Master-Secret-Protokolldateinamen:
ADB-Kommunikation
Extrahiere eine APK aus einer ADB-Kommunikation, in der die APK gesendet wurde:
Last updated