Wireshark tricks
WhiteIntel to silnik wyszukiwania zasilany przez dark-web, który oferuje darmowe funkcje do sprawdzenia, czy firma lub jej klienci zostali skompromentowani przez złośliwe oprogramowanie kradnące.
Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Improve your Wireshark skills
Tutorials
Następujące samouczki są świetne do nauki kilku fajnych podstawowych trików:
Analysed Information
Expert Information
Klikając na Analyze --> Expert Information uzyskasz przegląd tego, co dzieje się w analizowanych pakietach:
Resolved Addresses
Pod Statistics --> Resolved Addresses możesz znaleźć kilka informacji, które zostały "rozwiązane" przez Wireshark, takich jak port/transport do protokołu, MAC do producenta itp. Interesujące jest wiedzieć, co jest zaangażowane w komunikację.
Protocol Hierarchy
Pod Statistics --> Protocol Hierarchy możesz znaleźć protokoły zaangażowane w komunikację oraz dane o nich.
Conversations
Pod Statistics --> Conversations możesz znaleźć podsumowanie rozmów w komunikacji oraz dane o nich.
Endpoints
Pod Statistics --> Endpoints możesz znaleźć podsumowanie punktów końcowych w komunikacji oraz dane o każdym z nich.
DNS info
Pod Statistics --> DNS możesz znaleźć statystyki dotyczące przechwyconego zapytania DNS.
I/O Graph
Pod Statistics --> I/O Graph możesz znaleźć wykres komunikacji.
Filters
Tutaj możesz znaleźć filtry Wireshark w zależności od protokołu: https://www.wireshark.org/docs/dfref/ Inne interesujące filtry:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP i początkowy ruch HTTPS + TCP SYN + zapytania DNS
Search
Jeśli chcesz wyszukiwać treść wewnątrz pakietów sesji, naciśnij CTRL+f. Możesz dodać nowe warstwy do głównego paska informacji (Nr, Czas, Źródło itp.) naciskając prawy przycisk i następnie edytując kolumnę.
Free pcap labs
Ćwicz z darmowymi wyzwaniami: https://www.malware-traffic-analysis.net/
Identifying Domains
Możesz dodać kolumnę, która pokazuje nagłówek Host HTTP:
I kolumnę, która dodaje nazwę serwera z inicjującego połączenia HTTPS (ssl.handshake.type == 1):
Identifying local hostnames
From DHCP
W obecnym Wireshark zamiast bootp
musisz szukać DHCP
From NBNS
Decrypting TLS
Decrypting https traffic with server private key
edit>preference>protocol>ssl>
Naciśnij Edit i dodaj wszystkie dane serwera oraz klucz prywatny (IP, Port, Protokół, Plik klucza i hasło)
Decrypting https traffic with symmetric session keys
Zarówno Firefox, jak i Chrome mają możliwość rejestrowania kluczy sesji TLS, które można wykorzystać z Wireshark do odszyfrowania ruchu TLS. Umożliwia to szczegółową analizę zabezpieczonej komunikacji. Więcej informacji na temat tego, jak przeprowadzić to odszyfrowanie, można znaleźć w przewodniku na stronie Red Flag Security.
Aby to wykryć, przeszukaj środowisko pod kątem zmiennej SSLKEYLOGFILE
Plik z kluczami współdzielonymi będzie wyglądał tak:
Aby zaimportować to do Wireshark, przejdź do _edit > preference > protocol > ssl > i zaimportuj to w (Pre)-Master-Secret log filename:
ADB communication
Wyodrębnij APK z komunikacji ADB, gdzie APK został wysłany:
WhiteIntel to wyszukiwarka zasilana dark-web, która oferuje darmowe funkcje sprawdzania, czy firma lub jej klienci zostali skompromentowani przez malware kradnące.
Głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z malware kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Last updated