Wireshark tricks

Improve your Wireshark skills

Tutorials

以下のチュートリアルは、いくつかのクールな基本的なトリックを学ぶのに素晴らしいです：

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analysed Information

Expert Information

_Analyze --> Expert Information_をクリックすると、分析されたパケットで何が起こっているかの概要が得られます：

Resolved Addresses

_Statistics --> Resolved Addresses_の下には、wiresharkによって「解決された」いくつかの情報（ポート/トランスポートからプロトコル、MACから製造元など）を見つけることができます。通信に関与しているものを知ることは興味深いです。

Protocol Hierarchy

_Statistics --> Protocol Hierarchy_の下には、通信に関与するプロトコルとそれに関するデータがあります。

Conversations

_Statistics --> Conversations_の下には、通信の会話の概要とそれに関するデータがあります。

Endpoints

_Statistics --> Endpoints_の下には、通信のエンドポイントの概要とそれぞれに関するデータがあります。

DNS info

_Statistics --> DNS_の下には、キャプチャされたDNSリクエストに関する統計があります。

I/O Graph

_Statistics --> I/O Graph_の下には、通信のグラフがあります。

Filters

ここでは、プロトコルに応じたwiresharkフィルターを見つけることができます：https://www.wireshark.org/docs/dfref/ 他の興味深いフィルター：

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTPおよび初期HTTPSトラフィック

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTPおよび初期HTTPSトラフィック + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTPおよび初期HTTPSトラフィック + TCP SYN + DNSリクエスト

Search

セッションのパケット内のコンテンツを検索したい場合は、_CTRL+f_を押します。メイン情報バー（No.、Time、Sourceなど）に新しいレイヤーを追加するには、右ボタンを押してから列を編集します。

Free pcap labs

無料のチャレンジで練習する： https://www.malware-traffic-analysis.net/

Identifying Domains

Host HTTPヘッダーを表示する列を追加できます：

そして、開始HTTPS接続からサーバー名を追加する列（ssl.handshake.type == 1）：

Identifying local hostnames

From DHCP

現在のWiresharkでは、bootpの代わりにDHCPを検索する必要があります。

From NBNS

Decrypting TLS

Decrypting https traffic with server private key

edit>preference>protocol>ssl>

_サーバーとプライベートキーのすべてのデータを追加するには、_Edit_を押します（IP、Port、Protocol、Key fileおよびpassword）

Decrypting https traffic with symmetric session keys

FirefoxとChromeの両方は、TLSセッションキーをログに記録する機能があり、これを使用してWiresharkでTLSトラフィックを復号化できます。これにより、安全な通信の詳細な分析が可能になります。この復号化を実行する方法の詳細は、Red Flag Securityのガイドにあります。

これを検出するには、環境内で変数SSLKEYLOGFILEを検索します。

共有キーのファイルは次のようになります：

これをwiresharkにインポートするには、_edit > preference > protocol > ssl >_に移動し、(Pre)-Master-Secretログファイル名にインポートします：

ADB communication

APKが送信されたADB通信からAPKを抽出します：

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()