Wireshark tricks
WhiteIntel je pretraživač pokretan dark-web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici kompromitovani od strane malvera za krađu podataka.
Primarni cilj WhiteIntel-a je borba protiv preuzimanja naloga i napada ransomware-a koji proizilaze iz malvera za krađu informacija.
Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:
Unapredite svoje veštine sa Wireshark-om
Tutorijali
Sledeći tutorijali su sjajni za učenje nekih cool osnovnih trikova:
Analizirane informacije
Ekspertske informacije
Klikom na Analyze --> Expert Information dobićete pregled onoga što se dešava u analiziranim paketima:
Rešene adrese
Pod Statistics --> Resolved Addresses možete pronaći nekoliko informacija koje je wireshark "rešio" kao što su port/transport do protokola, MAC do proizvođača, itd. Korisno je znati šta je uključeno u komunikaciju.
Hijerarhija protokola
Pod Statistics --> Protocol Hierarchy možete pronaći protokole koji su učestvovali u komunikaciji i podatke o njima.
Konverzacije
Pod Statistics --> Conversations možete pronaći rezime konverzacija u komunikaciji i podatke o njima.
Krajnje tačke
Pod Statistics --> Endpoints možete pronaći rezime krajnjih tačaka u komunikaciji i podatke o svakoj od njih.
DNS informacije
Pod Statistics --> DNS možete pronaći statistike o uhvaćenim DNS zahtevima.
I/O Grafikon
Pod Statistics --> I/O Graph možete pronaći grafikon komunikacije.
Filteri
Ovde možete pronaći wireshark filtere u zavisnosti od protokola: https://www.wireshark.org/docs/dfref/ Drugi interesantni filteri:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)HTTP i početni HTTPS saobraćaj
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)HTTP i početni HTTPS saobraćaj + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)HTTP i početni HTTPS saobraćaj + TCP SYN + DNS zahtevi
Pretraga
Ako želite da pretražujete sadržaj unutar paketa sesija pritisnite CTRL+f. Možete dodati nove slojeve glavnoj informacionoj traci (Br., Vreme, Izvor, itd.) pritiskom na desno dugme, a zatim na uređivanje kolone.
Besplatne pcap laboratorije
Vežbajte sa besplatnim izazovima na: https://www.malware-traffic-analysis.net/
Identifikacija domena
Možete dodati kolonu koja prikazuje Host HTTP zaglavlje:
I kolonu koja dodaje ime servera sa inicijalne HTTPS veze (ssl.handshake.type == 1):
Identifikacija lokalnih imena hostova
Iz DHCP-a
U trenutnom Wireshark-u umesto bootp treba da tražite DHCP
Iz NBNS-a
Dekriptovanje TLS-a
Dekriptovanje https saobraćaja pomoću privatnog ključa servera
izmeni>postavke>protokol>ssl>
Pritisnite Izmeni i dodajte sve podatke servera i privatnog ključa (IP, Port, Protokol, Datoteka ključa i lozinka)
Dekriptovanje https saobraćaja pomoću simetričnih sesijskih ključeva
Kako Firefox tako i Chrome imaju mogućnost da beleže TLS sesijske ključeve, koji se mogu koristiti sa Wireshark-om za dekriptovanje TLS saobraćaja. Ovo omogućava dubinsku analizu sigurnih komunikacija. Više detalja o tome kako izvršiti ovu dekripciju možete pronaći u vodiču na Red Flag Security.
Da biste ovo otkrili, pretražite okruženje za promenljivu SSLKEYLOGFILE
Datoteka deljenih ključeva će izgledati ovako:
Da biste ovo uvezli u wireshark idite na _izmeni > postavke > protokol > ssl > i uvezite je u (Pre)-Master-Secret log filename:
ADB komunikacija
Izvucite APK iz ADB komunikacije gde je APK poslat:
WhiteIntel je pretraživač pokretan dark web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici ugroženi od malvera za krađu podataka.
Njihov primarni cilj WhiteIntela je borba protiv preuzimanja naloga i napada ransomvera koji proizilaze iz malvera za krađu informacija.
Možete posetiti njihovu veb lokaciju i isprobati njihovu mašinu za besplatno na:
Last updated
