Wireshark tricks
Wireshark becerilerinizi geliştirin
Eğitimler
Aşağıdaki eğitimler bazı harika temel ipuçlarını öğrenmek için mükemmeldir:
Analiz Edilen Bilgiler
Uzman Bilgisi
Analyze --> Expert Information seçeneğine tıkladığınızda, analiz edilen paketlerde neler olduğunu görebilirsiniz:
Çözülmüş Adresler
Statistics --> Resolved Addresses altında, wireshark tarafından "çözülen" çeşitli bilgiler bulabilirsiniz; örneğin port/taşıyıcıdan protokole, MAC'tan üreticiye vb. İletişimde nelerin yer aldığını bilmek ilginçtir.
Protokol Hiyerarşisi
Statistics --> Protocol Hierarchy altında, iletişimde yer alan protokolleri ve bunlarla ilgili verileri bulabilirsiniz.
Görüşmeler
Statistics --> Conversations altında, iletişimdeki görüşmelerin bir özetini ve bunlarla ilgili verileri bulabilirsiniz.
Uç Noktalar
Statistics --> Endpoints altında, iletişimdeki uç noktaların bir özetini ve her biriyle ilgili verileri bulabilirsiniz.
DNS bilgisi
Statistics --> DNS altında, yakalanan DNS isteği hakkında istatistikler bulabilirsiniz.
G/Ç Grafiği
Statistics --> I/O Graph altında, iletişimin bir grafiğini bulabilirsiniz.
Filtreler
Burada protokole bağlı olarak wireshark filtrelerini bulabilirsiniz: https://www.wireshark.org/docs/dfref/ Diğer ilginç filtreler:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP ve başlangıç HTTPS trafiği + TCP SYN + DNS istekleri
Arama
Eğer oturumların paketleri içinde içerik aramak istiyorsanız CTRL+f tuşlarına basın. Ana bilgi çubuğuna (No., Zaman, Kaynak vb.) yeni katmanlar eklemek için sağ tıklayıp ardından sütunu düzenleyebilirsiniz.
Ücretsiz pcap laboratuvarları
Ücretsiz zorluklarla pratik yapın: https://www.malware-traffic-analysis.net/
Alan Adlarını Tanımlama
HTTP başlığını gösteren bir sütun ekleyebilirsiniz:
Ve bir HTTPS bağlantısını başlatan sunucu adını ekleyen bir sütun (ssl.handshake.type == 1):
Yerel Alan Adlarını Tanımlama
DHCP'den
Mevcut Wireshark'ta bootp
yerine DHCP
aramanız gerekiyor.
NBNS'den
TLS'yi Şifre Çözme
Sunucu özel anahtarı ile https trafiğini şifre çözme
edit>preference>protocol>ssl>
Sunucu ve özel anahtarın tüm verilerini (IP, Port, Protokol, Anahtar dosyası ve şifre) eklemek için Edit seçeneğine basın.
Simetrik oturum anahtarları ile https trafiğini şifre çözme
Hem Firefox hem de Chrome, TLS oturum anahtarlarını kaydetme yeteneğine sahiptir; bu anahtarlar Wireshark ile TLS trafiğini şifre çözmek için kullanılabilir. Bu, güvenli iletişimlerin derinlemesine analizine olanak tanır. Bu şifre çözme işlemini nasıl gerçekleştireceğinizle ilgili daha fazla ayrıntı Red Flag Security kılavuzunda bulunabilir.
Bunu tespit etmek için ortamda SSLKEYLOGFILE
değişkenini arayın.
Paylaşılan anahtarların bir dosyası şöyle görünecektir:
Bunu wireshark'a aktarmak için edit > preference > protocol > ssl > ve (Pre)-Master-Secret log filename kısmına aktarın:
ADB iletişimi
APK'nın gönderildiği bir ADB iletişiminden bir APK çıkarın:
Last updated