Wireshark tricks
WhiteIntel ni injini ya kutafuta inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia kama kampuni au wateja wake wamekuwa compromised na stealer malwares.
Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.
Unaweza kuangalia tovuti yao na kujaribu injini yao kwa bure kwenye:
Improve your Wireshark skills
Tutorials
Mafunzo yafuatayo ni mazuri kujifunza mbinu za msingi:
Analysed Information
Expert Information
Kubofya kwenye Analyze --> Expert Information utapata muonekano wa kile kinachotokea katika pakiti zilizochambuliwa:
Resolved Addresses
Chini ya Statistics --> Resolved Addresses unaweza kupata taarifa kadhaa ambazo zimekuwa "resolved" na wireshark kama port/transport hadi protocol, MAC hadi mtengenezaji, nk. Ni ya kuvutia kujua kile kinachohusika katika mawasiliano.
Protocol Hierarchy
Chini ya Statistics --> Protocol Hierarchy unaweza kupata protocols zinazo husika katika mawasiliano na data kuhusu hizo.
Conversations
Chini ya Statistics --> Conversations unaweza kupata muhtasari wa mazungumzo katika mawasiliano na data kuhusu hizo.
Endpoints
Chini ya Statistics --> Endpoints unaweza kupata muhtasari wa endpoints katika mawasiliano na data kuhusu kila moja yao.
DNS info
Chini ya Statistics --> DNS unaweza kupata takwimu kuhusu ombi la DNS lililokamatwa.
I/O Graph
Chini ya Statistics --> I/O Graph unaweza kupata grafu ya mawasiliano.
Filters
Hapa unaweza kupata chujio za wireshark kulingana na protocol: https://www.wireshark.org/docs/dfref/ Chujio zingine za kuvutia:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)HTTP na trafiki ya mwanzo ya HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)HTTP na trafiki ya mwanzo ya HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)HTTP na trafiki ya mwanzo ya HTTPS + TCP SYN + maombi ya DNS
Search
Ikiwa unataka kutafuta maudhui ndani ya pakiti za vikao bonyeza CTRL+f. Unaweza kuongeza tabaka mpya kwenye bar ya habari kuu (No., Wakati, Chanzo, nk.) kwa kubonyeza kitufe cha kulia na kisha kuhariri safu.
Free pcap labs
Fanya mazoezi na changamoto za bure za: https://www.malware-traffic-analysis.net/
Identifying Domains
Unaweza kuongeza safu inayonyesha kichwa cha HTTP cha Host:
Na safu inayoongeza jina la Server kutoka kwa muunganisho wa HTTPS unaoanzisha (ssl.handshake.type == 1):
Identifying local hostnames
From DHCP
Katika Wireshark ya sasa badala ya bootp unahitaji kutafuta DHCP
From NBNS
Decrypting TLS
Decrypting https traffic with server private key
edit>preference>protocol>ssl>
Bonyeza Edit na ongeza data zote za server na funguo binafsi (IP, Port, Protocol, Key file na password)
Decrypting https traffic with symmetric session keys
Firefox na Chrome zina uwezo wa kurekodi funguo za kikao za TLS, ambazo zinaweza kutumika na Wireshark kufungua trafiki ya TLS. Hii inaruhusu uchambuzi wa kina wa mawasiliano salama. Maelezo zaidi juu ya jinsi ya kufanya ufunguo huu yanaweza kupatikana katika mwongozo kwenye Red Flag Security.
Ili kugundua hii tafuta ndani ya mazingira kwa variable SSLKEYLOGFILE
Faili ya funguo zilizoshirikiwa itakuwa na muonekano huu:
Ili kuingiza hii katika wireshark nenda kwa _edit > preference > protocol > ssl > na uingize katika (Pre)-Master-Secret log filename:
ADB communication
Toa APK kutoka kwa mawasiliano ya ADB ambapo APK ilitumwa:
WhiteIntel ni injini ya kutafuta inayotumiwa na dark-web ambayo inatoa kazi za bure kuangalia ikiwa kampuni au wateja wake wamekuwa compromised na stealer malwares.
Lengo lao kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulizi ya ransomware yanayotokana na malware inayopora taarifa.
Unaweza kuangalia tovuti yao na kujaribu injini yao kwa bure kwenye:
Last updated
