Wireshark tricks
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wame vamiwa na malware za kuiba.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na malware za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao bure hapa:
Boresha Ujuzi wako wa Wireshark
Mafunzo
Mafunzo yafuatayo ni mazuri kujifunza mbinu za msingi za kushangaza:
Taarifa Zilizochambuliwa
Taarifa za Mtaalam
Kwa kubonyeza Analyze --> Expert Information utapata muhtasari wa kinachoendelea kwenye pakiti zilizochambuliwa:
Anwani Zilizotatuliwa
Chini ya Statistics --> Resolved Addresses unaweza kupata taarifa kadhaa zilizotatuliwa na wireshark kama vile bandari/mtandao hadi itifaki, MAC hadi mtengenezaji, n.k. Ni muhimu kujua ni nini kimehusika katika mawasiliano.
Mfumo wa Itifaki
Chini ya Statistics --> Protocol Hierarchy unaweza kupata itifaki zinazohusika katika mawasiliano na data kuhusu hizo.
Mazungumzo
Chini ya Statistics --> Conversations unaweza kupata muhtasari wa mazungumzo katika mawasiliano na data kuhusu hayo.
Vipengele vya Mwisho
Chini ya Statistics --> Endpoints unaweza kupata muhtasari wa vipengele vya mwisho katika mawasiliano na data kuhusu kila moja.
Taarifa za DNS
Chini ya Statistics --> DNS unaweza kupata takwimu kuhusu ombi la DNS lililochukuliwa.
Grafu ya I/O
Chini ya Statistics --> I/O Graph unaweza kupata grafu ya mawasiliano.
Vichujio
Hapa unaweza kupata kichujio cha wireshark kulingana na itifaki: https://www.wireshark.org/docs/dfref/ Vichujio vingine vya kuvutia:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)Trafiki ya HTTP na HTTPS ya awali
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)Trafiki ya HTTP na HTTPS ya awali + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)Trafiki ya HTTP na HTTPS ya awali + TCP SYN + Ombi za DNS
Tafuta
Ikiwa unataka kutafuta maudhui ndani ya pakiti za vikao bonyeza CTRL+f. Unaweza kuongeza safu mpya kwenye mstari wa habari kuu (Namba, Wakati, Chanzo, n.k.) kwa kubonyeza kitufe cha kulia na kisha hariri safu.
Maabara za pcap za Bure
Jifunze na changamoto za bure za: https://www.malware-traffic-analysis.net/
Kutambua Domains
Unaweza kuongeza safu inayoonyesha Kichwa cha Host HTTP:
Na safu inayoongeza Jina la Seva kutoka kwa muunganisho wa HTTPS unaanza (ssl.handshake.type == 1):
Kutambua majina ya mwenyeji wa ndani
Kutoka kwa DHCP
Kwenye Wireshark ya sasa badala ya bootp unahitaji kutafuta DHCP
Kutoka kwa NBNS
Kufichua TLS
Kufichua trafiki ya https na ufunguo binafsi wa seva
edit>mapendeleo>itifaki>ssl>
Bonyeza Hariri na ongeza data yote ya seva na ufunguo binafsi (IP, Bandari, Itifaki, Faili la ufunguo na nenosiri)
Kufichua trafiki ya https na funguo za kikao za usawa
Firefox na Chrome zote zina uwezo wa kurekodi funguo za kikao za TLS, ambazo zinaweza kutumika na Wireshark kufichua trafiki ya TLS. Hii inaruhusu uchambuzi wa kina wa mawasiliano salama. Maelezo zaidi kuhusu jinsi ya kufanya ufichuzi huu yanaweza kupatikana kwenye mwongozo kwenye Red Flag Security.
Ili kugundua hii, tafuta ndani ya mazingira kwa kivinjari SSLKEYLOGFILE
Faili ya funguo za pamoja itaonekana kama hii:
Ili kuiingiza hii kwenye wireshark nenda kwa _hariri > mapendeleo > itifaki > ssl > na iingize kwenye (Pre)-Master-Secret log filename:
Mawasiliano ya ADB
Chambua APK kutoka kwenye mawasiliano ya ADB ambapo APK ilitumwa:
WhiteIntel ni injini ya utaftaji inayotumia dark-web ambayo inatoa huduma za bure za kuangalia ikiwa kampuni au wateja wake wameathiriwa na malwares za kuiba.
Lengo kuu la WhiteIntel ni kupambana na utekaji wa akaunti na mashambulio ya ransomware yanayotokana na programu hasidi za kuiba taarifa.
Unaweza kutembelea tovuti yao na kujaribu injini yao kwa bure kwa:
Last updated
