Wireshark tricks
Хитрощі Wireshark
Покращуйте свої навички Wireshark
Навчальні посібники
Наступні навчальні посібники дивовижні для вивчення деяких цікавих базових трюків:
Аналізована інформація
Інформація експерта
Клацнувши на Аналізувати --> Інформація експерта ви отримаєте огляд того, що відбувається в аналізованих пакетах:
Вирішені адреси
Під Статистика --> Вирішені адреси ви можете знайти кілька інформації, яка була "вирішена" Wireshark, такі як порт/транспорт до протоколу, MAC до виробника тощо. Цікаво знати, що включено в комунікацію.
Ієрархія протоколів
Під Статистика --> Ієрархія протоколів ви можете знайти протоколи, що залучені в комунікацію та дані про них.
Розмови
Під Статистика --> Розмови ви можете знайти короткий огляд розмов в комунікації та дані про них.
Кінцеві точки
Під Статистика --> Кінцеві точки ви можете знайти короткий огляд кінцевих точок в комунікації та дані про кожну з них.
Інформація DNS
Під Статистика --> DNS ви можете знайти статистику про захоплені запити DNS.
Графік введення/виведення
Під Статистика --> Графік введення/виведення ви можете знайти графік комунікації.
Фільтри
Тут ви можете знайти фільтр Wireshark в залежності від протоколу: https://www.wireshark.org/docs/dfref/ Інші цікаві фільтри:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Трафік HTTP та початковий трафік HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Трафік HTTP та початковий трафік HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Трафік HTTP та початковий трафік HTTPS + TCP SYN + запити DNS
Пошук
Якщо ви хочете шукати вміст всередині пакетів сеансів, натисніть CTRL+f. Ви можете додати нові шари до головної панелі інформації (№, Час, Джерело тощо), натиснувши праву кнопку, а потім редагувати стовпець.
Безкоштовні лабораторії pcap
Практикуйте з безкоштовними викликами: https://www.malware-traffic-analysis.net/
Визначення доменів
Ви можете додати стовпець, який показує заголовок Host HTTP:
І стовпець, який додає ім'я сервера з початкового з'єднання HTTPS (ssl.handshake.type == 1):
Визначення локальних імен хостів
З DHCP
У поточному Wireshark замість bootp
вам потрібно шукати DHCP
З NBNS
Розшифрування TLS
Розшифрування трафіку https за допомогою приватного ключа сервера
редагування>параметри>протокол>ssl>
Натисніть Редагувати та додайте всі дані сервера та приватного ключа (IP, Порт, Протокол, Файл ключа та пароль)
Розшифрування трафіку https за допомогою симетричних ключів сеансу
Як Firefox, так і Chrome мають можливість реєструвати ключі сеансу TLS, які можна використовувати з Wireshark для розшифрування трафіку TLS. Це дозволяє проводити глибинний аналіз безпечних комунікацій. Докладнішу інформацію про те, як виконати це розшифрування, можна знайти в посібнику на Red Flag Security.
Щоб виявити це, шукайте всередині середовища змінну SSLKEYLOGFILE
Файл спільних ключів буде виглядати так:
Щоб імпортувати це в Wireshark, перейдіть до _редагувати > параметри > протокол > ssl > та імпортуйте його в (Pre)-Master-Secret log filename:
Комунікація ADB
Витягніть APK з комунікації ADB, де APK було відправлено:
Last updated