Wireshark tricks

अपनी Wireshark कौशल क्षमताएँ सुधारें

ट्यूटोरियल

निम्नलिखित ट्यूटोरियल कुछ शानदार मूलभूत ट्रिक्स सीखने के लिए हैं:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

विशेषज्ञ सूचना

विश्लेषण --> विशेषज्ञ सूचना पर क्लिक करने पर आपको पैकेट्स में क्या हो रहा है का अवलोकन मिलेगा:

संक्षिप्त पते

सांख्यिकी --> संक्षिप्त पते के तहत आपको कई सूचनाएं मिलेंगी जो वायरशार्क द्वारा "संक्षेपित" की गई थीं, जैसे पोर्ट/परिवहन से प्रोटोकॉल, MAC से निर्माता आदि। संचार में क्या शामिल है यह जानना दिलचस्प है।

प्रोटोकॉल वर्गीकरण

सांख्यिकी --> प्रोटोकॉल वर्गीकरण के तहत आपको संचार में शामिल प्रोटोकॉल मिलेंगे और उनके बारे में डेटा।

बातचीतें

सांख्यिकी --> बातचीतें के तहत आपको संचार में बातचीतों का सारांश मिलेगा और उनके बारे में डेटा।

अंत स्थल

सांख्यिकी --> अंत स्थल के तहत आपको संचार में अंत स्थलों का सारांश मिलेगा और प्रत्येक के बारे में डेटा।

DNS जानकारी

सांख्यिकी --> DNS के तहत आपको कैप्चर किए गए DNS अनुरोधों के बारे में सांख्यिकी मिलेगी।

I/O ग्राफ

सांख्यिकी --> I/O ग्राफ के तहत आपको एक संचार का ग्राफ मिलेगा।

फ़िल्टर

यहाँ आप प्रोटोकॉल के आधार पर वायरशार्क फ़िल्टर पा सकते हैं: https://www.wireshark.org/docs/dfref/ अन्य दिलचस्प फ़िल्टर:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफिक

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफिक + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP और प्रारंभिक HTTPS ट्रैफिक + TCP SYN + DNS अनुरोध

खोज

अगर आप सत्रों के पैकेट्स में सामग्री की खोज करना चाहते हैं तो CTRL+f दबाएं। आप मुख्य सूचना पट्टी में नई लेयर जोड़ सकते हैं (संख्या, समय, स्रोत, आदि) दाएं बटन दबाकर और फिर संपादन स्तंभ दबाकर।

मुफ्त pcap लैब्स

मुफ्त चुनौतियों के साथ अभ्यास करें: https://www.malware-traffic-analysis.net/

डोमेन्स की पहचान

आप एक स्तंभ जो होस्ट HTTP हेडर दिखाता है जोड़ सकते हैं:

और एक स्तंभ जो एक प्रारंभिक HTTPS कनेक्शन से सर्वर नाम जोड़ता है (ssl.handshake.type == 1):

स्थानीय होस्टनेम की पहचान

DHCP से

वर्तमान Wireshark में bootp की बजाय DHCP की खोज करनी होगी

NBNS से

TLS की डिक्रिप्शन

सर्वर निजी कुंजी के साथ https ट्रैफिक की डिक्रिप्शन

edit>preference>protocol>ssl>

Edit दबाएं और सर्वर और निजी कुंजी के सभी डेटा को जोड़ें (IP, पोर्ट, प्रोटोकॉल, कुंजी फ़ाइल और पासवर्ड)

सममित सत्र कुंजियों के साथ https ट्रैफिक की डिक्रिप्शन

फायरफॉक्स और क्रोम दोनों के पास TLS सत्र कुंजियों को लॉग करने की क्षमता है, जिन्हें Wireshark के साथ ट्रांसपोर्ट करने के लिए उपयोग किया जा सकता है। यह सुरक्षित संचार का विस्तृत विश्लेषण संभव बनाता है। इस डिक्रिप्शन को कैसे किया जाए, इसके बारे में अधिक विवरण एक मार्गदर्शिका में मिल सकता है Red Flag Security.

इसे डिटेक्ट करने के लिए वातावरण में SSLKEYLOGFILE के लिए खोजें

एक साझा कुंजी की फ़ाइल इस तरह दिखेगी:

इसे वायरशार्क में आयात करने के लिए जाएं _edit > preference > protocol > ssl > और इसे (पूर्व)-मास्टर-सीक्रेट लॉग फ़ाइल नाम में आयात करें:

ADB संचार

जहां APK भेजा गया था, वहां से ADB संचार से APK निकालें:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()