Wireshark ipuçları

Reading time: 4 minutes

Wireshark becerilerinizi geliştirin

Eğitimler

Aşağıdaki eğitimler bazı harika temel ipuçlarını öğrenmek için mükemmeldir:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/
• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/
• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analiz Edilen Bilgiler

Uzman Bilgisi

Analyze --> Expert Information seçeneğine tıkladığınızda, analiz edilen paketlerde neler olduğunu gösteren bir genel bakış alırsınız:

Çözülmüş Adresler

Statistics --> Resolved Addresses altında, wireshark tarafından "çözülen" çeşitli bilgiler bulabilirsiniz; örneğin port/taşıyıcıdan protokole, MAC'tan üreticiye vb. İletişimde nelerin yer aldığını bilmek ilginçtir.

Protokol Hiyerarşisi

Statistics --> Protocol Hierarchy altında, iletişimde yer alan protokolleri ve bunlarla ilgili verileri bulabilirsiniz.

Görüşmeler

Statistics --> Conversations altında, iletişimdeki görüşmelerin özeti ve bunlarla ilgili verileri bulabilirsiniz.

Uç Noktalar

Statistics --> Endpoints altında, iletişimdeki uç noktaların özeti ve her biriyle ilgili verileri bulabilirsiniz.

DNS bilgisi

Statistics --> DNS altında, yakalanan DNS isteği hakkında istatistikler bulabilirsiniz.

G/Ç Grafiği

Statistics --> I/O Graph altında, iletişimin grafiğini bulabilirsiniz.

Filtreler

Burada protokole bağlı wireshark filtrelerini bulabilirsiniz: https://www.wireshark.org/docs/dfref/
Diğer ilginç filtreler:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
• HTTP ve başlangıç HTTPS trafiği
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
• HTTP ve başlangıç HTTPS trafiği + TCP SYN
• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
• HTTP ve başlangıç HTTPS trafiği + TCP SYN + DNS istekleri

Arama

Eğer oturumların paketleri içinde içerik aramak istiyorsanız, CTRL+f tuşlarına basın. Ana bilgi çubuğuna (No., Zaman, Kaynak, vb.) yeni katmanlar eklemek için sağ tıklayıp ardından sütunu düzenleyebilirsiniz.

Ücretsiz pcap laboratuvarları

Ücretsiz zorluklarla pratik yapın: https://www.malware-traffic-analysis.net/

Alan Adlarını Tanımlama

Host HTTP başlığını gösteren bir sütun ekleyebilirsiniz:

Ve başlatan bir HTTPS bağlantısından sunucu adını ekleyen bir sütun (ssl.handshake.type == 1):

Yerel Alan Adlarını Tanımlama

DHCP'den

Güncel Wireshark'ta bootp yerine DHCP aramanız gerekiyor.

NBNS'den

TLS'yi Şifre Çözme

Sunucu özel anahtarı ile https trafiğini şifre çözme

edit>preference>protocol>ssl>

Sunucu ve özel anahtarın tüm verilerini (IP, Port, Protokol, Anahtar dosyası ve şifre) eklemek için Edit seçeneğine basın.

Simetrik oturum anahtarları ile https trafiğini şifre çözme

Hem Firefox hem de Chrome, TLS oturum anahtarlarını kaydetme yeteneğine sahiptir; bu anahtarlar Wireshark ile TLS trafiğini şifre çözmek için kullanılabilir. Bu, güvenli iletişimlerin derinlemesine analizine olanak tanır. Bu şifre çözme işlemini nasıl gerçekleştireceğinizle ilgili daha fazla ayrıntı Red Flag Security rehberinde bulunabilir.

Bunu tespit etmek için ortamda SSLKEYLOGFILE değişkenini arayın.

Paylaşılan anahtarların bir dosyası şöyle görünecektir:

Bunu wireshark'a aktarmak için edit > preference > protocol > ssl > ve (Pre)-Master-Secret log filename kısmına aktarın:

ADB iletişimi

APK'nın gönderildiği bir ADB iletişiminden bir APK çıkarın:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()