Wireshark tricks
最后更新于
最后更新于
WhiteIntel是一个由暗网支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到窃取恶意软件的侵害。
WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
以下教程非常适合学习一些很酷的基本技巧:
专家信息
单击 Analyze --> Expert Information 您将获得对分析的数据包中发生的情况的概述:
已解析地址
在 Statistics --> Resolved Addresses 下,您可以找到Wireshark解析的一些信息,例如端口/传输到协议,MAC地址到制造商等。了解通信中涉及的内容是很有趣的。
协议层次结构
在 Statistics --> Protocol Hierarchy 下,您可以找到通信中涉及的协议及其相关数据。
对话
在 Statistics --> Conversations 下,您可以找到通信中对话的摘要及其相关数据。
端点
在 Statistics --> Endpoints 下,您可以找到通信中端点的摘要及每个端点的相关数据。
DNS信息
在 Statistics --> DNS 下,您可以找到有关捕获的DNS请求的统计信息。
I/O图
在 Statistics --> I/O Graph 下,您可以找到通信的图表。
在这里,您可以找到根据协议的Wireshark过滤器:https://www.wireshark.org/docs/dfref/ 其他有趣的过滤器:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP和初始HTTPS流量
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP和初始HTTPS流量 + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP和初始HTTPS流量 + TCP SYN + DNS请求
如果您想在会话的数据包中搜索内容,请按下CTRL+f。您可以通过按右键然后编辑列来向主信息栏添加新层(编号、时间、来源等)。
通过以下免费挑战练习: https://www.malware-traffic-analysis.net/
您可以添加一个显示Host HTTP头的列:
以及添加一个从初始HTTPS连接中添加服务器名称的列(ssl.handshake.type == 1):
在当前的Wireshark中,您需要搜索DHCP
而不是bootp
编辑>首选项>协议>ssl>
点击_编辑_,添加服务器和私钥的所有数据(IP、端口、协议、密钥文件和密码)
Firefox和Chrome都可以记录TLS会话密钥,这些密钥可以与Wireshark一起用于解密TLS流量。这允许对安全通信进行深入分析。有关如何执行此解密的更多详细信息,请参阅Red Flag Security的指南。
要检测此内容,请在环境中搜索变量SSLKEYLOGFILE
共享密钥文件看起来像这样:
要在Wireshark中导入此文件,请转到_编辑 > 首选项 > 协议 > ssl > 并将其导入到(Pre)-Master-Secret日志文件名中:
从APK被发送的ADB通信中提取APK:
WhiteIntel 是一个由暗网支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到窃取恶意软件的侵害。
WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎: