Njia za Wireshark

Reading time: 5 minutes

Boresha ujuzi wako wa Wireshark

Mafunzo

Mafunzo yafuatayo ni mazuri kujifunza mbinu za msingi:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Taarifa zilizochambuliwa

Taarifa za Wataalamu

Kubofya kwenye Analyze --> Expert Information utapata muonekano wa kile kinachotokea katika pakiti zilizochambuliwa:

Anwani zilizotatuliwa

Chini ya Statistics --> Resolved Addresses unaweza kupata taarifa kadhaa ambazo zilitatuliwa na wireshark kama port/transport hadi protokali, MAC hadi mtengenezaji, n.k. Ni muhimu kujua kinachohusika katika mawasiliano.

Hali ya Protokali

Chini ya Statistics --> Protocol Hierarchy unaweza kupata protokali zilizohusika katika mawasiliano na data kuhusu hizo.

Mazungumzo

Chini ya Statistics --> Conversations unaweza kupata muhtasari wa mazungumzo katika mawasiliano na data kuhusu hizo.

Mikondo

Chini ya Statistics --> Endpoints unaweza kupata muhtasari wa mikondo katika mawasiliano na data kuhusu kila mmoja wao.

Taarifa za DNS

Chini ya Statistics --> DNS unaweza kupata takwimu kuhusu ombi la DNS lililotolewa.

Grafu ya I/O

Chini ya Statistics --> I/O Graph unaweza kupata grafu ya mawasiliano.

Filters

Hapa unaweza kupata chujio za wireshark kulingana na protokali: https://www.wireshark.org/docs/dfref/
Chujio nyingine za kuvutia:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
• Trafiki ya HTTP na HTTPS ya awali
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
• Trafiki ya HTTP na HTTPS ya awali + TCP SYN
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
• Trafiki ya HTTP na HTTPS ya awali + TCP SYN + maombi ya DNS

Tafuta

Ikiwa unataka kutafuta maudhui ndani ya pakiti za vikao bonyeza CTRL+f. Unaweza kuongeza tabaka mpya kwenye bar ya taarifa kuu (No., Wakati, Chanzo, n.k.) kwa kubonyeza kitufe cha kulia na kisha kuhariri safu.

Maabara za bure za pcap

Fanya mazoezi na changamoto za bure za: https://www.malware-traffic-analysis.net/

Kutambua Domains

Unaweza kuongeza safu inayonyesha kichwa cha HTTP cha Host:

Na safu inayoongeza jina la Server kutoka kwa muunganisho wa HTTPS unaoanzisha (ssl.handshake.type == 1):

Kutambua majina ya mwenyeji wa ndani

Kutoka DHCP

Katika Wireshark ya sasa badala ya bootp unahitaji kutafuta DHCP

Kutoka NBNS

Kufichua TLS

Kufichua trafiki ya https kwa kutumia funguo za kibinafsi za seva

edit>preference>protocol>ssl>

Bonyeza Edit na ongeza data zote za seva na funguo za kibinafsi (IP, Port, Protokali, Faili ya funguo na nenosiri)

Kufichua trafiki ya https kwa kutumia funguo za kikao za symmetrick

Firefox na Chrome zina uwezo wa kurekodi funguo za kikao za TLS, ambazo zinaweza kutumika na Wireshark kufichua trafiki ya TLS. Hii inaruhusu uchambuzi wa kina wa mawasiliano salama. Maelezo zaidi juu ya jinsi ya kufanya ufichuzi huu yanaweza kupatikana katika mwongozo kwenye Red Flag Security.

Ili kugundua hii tafuta ndani ya mazingira kwa variable SSLKEYLOGFILE

Faili ya funguo za pamoja itakuwa na muonekano huu:

Ili kuingiza hii katika wireshark nenda kwa _edit > preference > protocol > ssl > na uingize katika (Pre)-Master-Secret log filename:

Mawasiliano ya ADB

Toa APK kutoka kwa mawasiliano ya ADB ambapo APK ilitumwa:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()