Wireshark tricks
Astuces Wireshark
Améliorez vos compétences Wireshark
Tutoriels
Les tutoriels suivants sont excellents pour apprendre quelques astuces de base intéressantes :
Informations analysées
Informations d'expert
En cliquant sur Analyser --> Informations d'expert, vous aurez un aperçu de ce qui se passe dans les paquets analysés :
Adresses résolues
Sous Statistiques --> Adresses résolues, vous pouvez trouver plusieurs informations qui ont été "résolues" par Wireshark comme le port/transport vers le protocole, l'adresse MAC vers le fabricant, etc. Il est intéressant de savoir ce qui est impliqué dans la communication.
Hiérarchie des protocoles
Sous Statistiques --> Hiérarchie des protocoles, vous pouvez trouver les protocoles impliqués dans la communication et des données à leur sujet.
Conversations
Sous Statistiques --> Conversations, vous pouvez trouver un résumé des conversations dans la communication et des données à leur sujet.
Points d'extrémité
Sous Statistiques --> Points d'extrémité, vous pouvez trouver un résumé des points d'extrémité dans la communication et des données sur chacun d'eux.
Infos DNS
Sous Statistiques --> DNS, vous pouvez trouver des statistiques sur la requête DNS capturée.
Graphique E/S
Sous Statistiques --> Graphique E/S, vous pouvez trouver un graphique de la communication.
Filtres
Ici, vous pouvez trouver des filtres Wireshark en fonction du protocole : https://www.wireshark.org/docs/dfref/ Autres filtres intéressants :
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)Trafic HTTP et HTTPS initial
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)Trafic HTTP et HTTPS initial + SYN TCP
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)Trafic HTTP et HTTPS initial + SYN TCP + requêtes DNS
Recherche
Si vous souhaitez rechercher du contenu à l'intérieur des paquets des sessions, appuyez sur CTRL+f. Vous pouvez ajouter de nouvelles couches à la barre d'informations principale (N°, Temps, Source, etc.) en appuyant sur le bouton droit, puis sur modifier la colonne.
Laboratoires pcap gratuits
Entraînez-vous avec les défis gratuits de : https://www.malware-traffic-analysis.net/
Identification des domaines
Vous pouvez ajouter une colonne qui affiche l'en-tête Host HTTP :
Et une colonne qui ajoute le nom du serveur à partir d'une connexion HTTPS initiale (ssl.handshake.type == 1):
Identification des noms d'hôtes locaux
À partir de DHCP
Dans Wireshark actuel, au lieu de bootp, vous devez rechercher DHCP
À partir de NBNS
Décryptage TLS
Décrypter le trafic https avec la clé privée du serveur
modifier>préférence>protocole>ssl>
Appuyez sur Modifier et ajoutez toutes les données du serveur et de la clé privée (IP, Port, Protocole, Fichier de clé et mot de passe)
Décrypter le trafic https avec des clés de session symétriques
Firefox et Chrome ont tous deux la capacité de journaliser les clés de session TLS, qui peuvent être utilisées avec Wireshark pour décrypter le trafic TLS. Cela permet une analyse approfondie des communications sécurisées. Plus de détails sur la façon d'effectuer ce décryptage peuvent être trouvés dans un guide sur Red Flag Security.
Pour détecter cela, recherchez à l'intérieur de l'environnement la variable SSLKEYLOGFILE
Un fichier de clés partagées ressemblera à ceci :
Pour importer cela dans Wireshark, allez à _modifier > préférence > protocole > ssl > et importez-le dans (Pré)-Master-Secret log filename :
Communication ADB
Extraire un APK d'une communication ADB où l'APK a été envoyé :
Dernière mise à jour
