Хитрощі Wireshark

Покращуйте свої навички Wireshark

Навчальні посібники

Наступні навчальні посібники дивовижні для вивчення деяких цікавих базових трюків:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Аналізована інформація

Інформація експерта

Клацнувши на Аналізувати --> Інформація експерта ви отримаєте огляд того, що відбувається в аналізованих пакетах:

Вирішені адреси

Під Статистика --> Вирішені адреси ви можете знайти кілька інформації, яка була "вирішена" Wireshark, такі як порт/транспорт до протоколу, MAC до виробника тощо. Цікаво знати, що включено в комунікацію.

Ієрархія протоколів

Під Статистика --> Ієрархія протоколів ви можете знайти протоколи, що залучені в комунікацію та дані про них.

Розмови

Під Статистика --> Розмови ви можете знайти короткий огляд розмов в комунікації та дані про них.

Кінцеві точки

Під Статистика --> Кінцеві точки ви можете знайти короткий огляд кінцевих точок в комунікації та дані про кожну з них.

Інформація DNS

Під Статистика --> DNS ви можете знайти статистику про захоплені запити DNS.

Графік введення/виведення

Під Статистика --> Графік введення/виведення ви можете знайти графік комунікації.

Фільтри

Тут ви можете знайти фільтр Wireshark в залежності від протоколу: https://www.wireshark.org/docs/dfref/ Інші цікаві фільтри:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• Трафік HTTP та початковий трафік HTTPS

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• Трафік HTTP та початковий трафік HTTPS + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• Трафік HTTP та початковий трафік HTTPS + TCP SYN + запити DNS

Пошук

Якщо ви хочете шукати вміст всередині пакетів сеансів, натисніть CTRL+f. Ви можете додати нові шари до головної панелі інформації (№, Час, Джерело тощо), натиснувши праву кнопку, а потім редагувати стовпець.

Безкоштовні лабораторії pcap

Практикуйте з безкоштовними викликами: https://www.malware-traffic-analysis.net/

Визначення доменів

Ви можете додати стовпець, який показує заголовок Host HTTP:

І стовпець, який додає ім'я сервера з початкового з'єднання HTTPS (ssl.handshake.type == 1):

Визначення локальних імен хостів

З DHCP

У поточному Wireshark замість bootp вам потрібно шукати DHCP

З NBNS

Розшифрування TLS

Розшифрування трафіку https за допомогою приватного ключа сервера

редагування>параметри>протокол>ssl>

Натисніть Редагувати та додайте всі дані сервера та приватного ключа (IP, Порт, Протокол, Файл ключа та пароль)

Розшифрування трафіку https за допомогою симетричних ключів сеансу

Як Firefox, так і Chrome мають можливість реєструвати ключі сеансу TLS, які можна використовувати з Wireshark для розшифрування трафіку TLS. Це дозволяє проводити глибинний аналіз безпечних комунікацій. Докладнішу інформацію про те, як виконати це розшифрування, можна знайти в посібнику на Red Flag Security.

Щоб виявити це, шукайте всередині середовища змінну SSLKEYLOGFILE

Файл спільних ключів буде виглядати так:

Щоб імпортувати це в Wireshark, перейдіть до _редагувати > параметри > протокол > ssl > та імпортуйте його в (Pre)-Master-Secret log filename:

Комунікація ADB

Витягніть APK з комунікації ADB, де APK було відправлено:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()