Wireshark 实用小技巧

Wireshark实用小技巧

由于比赛数据包一般都比较大,先通过脚本进行下流量清洗会有事半功倍的效果(感觉上kali下wireshark命令行工具tshark以及TCPdump效率更高,因为是命令行的原因,反而更有利于减少干扰,保持专注)。
以下为几点注意事项:

 1、wireshark过滤DHCP时直接输入dhcp会报错,应输入bootp
 2、利用过滤http,导出http,保存成相应文件。

​ 3、urldecode解码,解码后z0部分base64解码,PHP代码在线格式化(输入头<?php 点击格式化即可)
​ 4、一般先url解码,再载base64解码
​ 5、攻击行为特征

  • 大量404 目录扫描
  • select ... from 等关键词 sql注入
  • POST请求 用户名和密码——爆破
  • /../../.. 测试文件包含
  • echo等 命令执行
  • http、POST、”@eval“ 一句话木马特征
  • 内网环境,因此攻击者一般为外网ip,被攻击者为内网
  • 最后一条login信息,中提交的用户名密码,且下一次访问换了目录,一般为攻击者成功破解并登录
  • 关键字

    • 过滤多个关键字:ip.addr == 攻击者IP and http.request.uri matches "edit|upload|login| modify "
    • 文件修改关键字:edit/upload/modify
    • 登录关键字: admin/login/manage
  • 菜刀

    • 查看菜刀连接地址在上一层传输层
    • ctrl+shift+n追踪到下一条
    • 注:如果是明文说明是下载文件;base64编码则是读取文件内容

ftp

过滤语句:ftp-data or ftp

追踪流显示意义
STOR上传命令
DELE删除
CWD请求目录
LIST列出目录内容

image-01.png

应急响应浅析

windows

名称描述工具来源
cmd命令模式win自带
net网络管理命令win自带
netstat网络连接状态命令win自带
ipconfigip状态参数win自带
regedit注册表编辑器win自带
secpol.msc本地安全策略win自带
gpedit.msc本地安全组策略win自带
lusrmgr.msc用户管理器win自带
eventvwr.msc事件查看器win自带
msinfo32系统信息win自带
services.msc服务列表win自带
at计划任务win自带
systeminfo系统信息win自带
md5summd5校验和检测GNU Windows tool
fport进程对应端口显示Foundstone, inc
Psfile列举打开文件系统Sysintemals
Pskill杀进程命令Sysintemals
sc服务列举工具资源工具箱

Linux

名称描述来源
ps查看系统进程/usr/bin/ps
ls查看目录,文件列表/usr/bin/ls
df查看磁盘空间使用情况/usr/bin/df
netstat查看网络连接/端口状态/usr/bin/netstat
find查找文件/usr/bin/find
more分页显示输出信息/usr/bin/more
chkrootkit检测常见的rootkitsunfreeware
lsof检测文件和进程/端口关联sunfreeware
md5文件校验和sunfreeware
nc网络工具sunfreeware
tcpdumpsniffer自行下载
nmap端口扫描自行下载
john检测口令强度自行下载

wireshark 过滤规则

过滤MAC地址

过滤语句解释
eth.addr == 00:00:00:00:00:00过滤目标或源地址是00:00:00:00:00:00
eth.src == 00:00:00:00:00:00过滤源MAC地址是00:00:00:00:00:00
eth.dst == 00:00:00:00:00:00过滤目标MAC地址是00:00:00:00:00:00

过滤IP

过滤语句解释
ip.src == 192.168.1.1源地址为192.168.1.1
ip.src eq 192.168.1.1源地址为192.168.1.1
ip.dst == 192.168.1.1目标地址为192.168.1.1
ip.dst eq 192.168.1.1目标地址为192.168.1.1
ip.addr == 192.168.1.1ip地址过滤,不论源还是目标
ip.addr eq 192.168.1.1ip地址过滤,不论源还是目标

端口过滤

过滤语句解释
tcp.port == 80过滤tcp端口80
udp.port eq 80过滤udp端口80
tcp.srcport == 80tcp协议的来源端口是80
tcp.dstport == 80tcp协议的目标端口是80
tcp.port >=1 and tcp.port <= 80端口范围过滤: 1<= tcp协议端口 <=80

常见协议过滤

过滤协议
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
telnet
oicq
bootp
...
排除协议包: !arp 或者 not arp

http模式过滤

过滤语句解释
http.request.method == "GET"只显示GET请求
http.request.method == "POST"只显示POST请求
http.request.uri == "/login.php"显示请求URL中有login.php
http contains "GET"
http contains "HTTP/1.1"
请求头
过滤语句
请求头(GET)
http.request.method == "GET" && http contains "Host:"
http.request.method == "GET" && http contains "User-Agent:"
请求头(POST)
http.request.method == "POST" && http contains "Host:"
http.request.method == "POST" && http contains "User-Agent:"
响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type:"
http contains "HTTP/1.0 200 OK" && http contains "Content-Type:"

运算符

原意简写解释
less thanlt小于
less and qeualle小于等于
equaleq等于
great thengt大于
great and equalge大于等于
not equalne不等于

TCP过滤

过滤语句解释
tcp.flags显示包含TCP标志的封包
tcp.flags.syn == 0x02显示包含TCP SYN标志的封包
tcp.window_size == 0 && tcp.flags.reset != 1
tcp.flags.reset == 1RST/ACK 数据包

注: 以上为 显示过滤器

最后,附上一张wireshark思维导图

wiresharkt.png

参考链接

本文链接:

https://www.betao.cn/archives/wireshark.html
1 + 3 =
快来做第一个评论的人吧~