Nous avons couvert une introduction complète à Wireshark, l'outil d'analyse de paquets. Nous avons parcouru les sections principales, capturant le trafic, dissection et analyse des paquets, extrayant des statistiques de protocole sur le trafic capturé en plus de disséquer et d'expliquer les détails des paquets et la navigation. Cela faisait partie de TryHackMe Wireshark Les bases & Opérations sur les paquets TryHackMe qui font partie de TryHackMe SOC niveau 1.
Obtenir les notes d'étude sur l'analyse du trafic réseau
Le cours pratique complet sur le framework Metasploit
Faits saillants de la vidéo
Wireshark est un outil d'analyse de paquets réseau multiplateforme open source capable de détecter et d'enquêter sur le trafic en direct et d'inspecter les captures de paquets (PCAP). Il est couramment utilisé comme l’un des meilleurs outils d’analyse de paquets. Dans cette salle, nous examinerons les bases de Wireshark et l'utiliserons pour effectuer une analyse fondamentale des paquets.
Wireshark est l'un des outils d'analyse de trafic les plus puissants disponibles dans la nature. Son utilisation a plusieurs finalités :
- Détection et dépannage des problèmes de réseau, tels que les points de défaillance de charge réseau et la congestion.
- Détection des anomalies de sécurité, telles que des hôtes malveillants, une utilisation anormale des ports et un trafic suspect.
- Enquêter et apprendre les détails du protocole, tels que les codes de réponse et les données de charge utile.
La dissection des paquets est également connue sous le nom de dissection des protocoles, qui étudie les détails des paquets en décodant les protocoles et les champs disponibles. Wireshark prend en charge une longue liste de protocoles de dissection et vous pouvez également écrire vos scripts de dissection. Vous pouvez trouver plus de détails sur la dissection ici.
Wireshark dispose d'un puissant moteur de filtrage qui aide les analystes à affiner le trafic et à se concentrer sur l'événement qui les intéresse. Wireshark propose deux types d'approches de filtrage : les filtres de capture et d'affichage. Les filtres de capture sont utilisés pour "capturer" uniquement les paquets valides pour le filtre utilisé. Les filtres d'affichage sont utilisés pour "visualisation" les paquets valables pour le filtre utilisé.
Les filtres sont des requêtes spécifiques conçues pour les protocoles disponibles dans la référence officielle des protocoles de Wireshark. Bien que les filtres ne soient qu'une option pour enquêter sur l'événement qui vous intéresse, il existe deux manières différentes de filtrer le trafic et de supprimer le bruit du fichier de capture. Le premier utilise des requêtes et le second utilise le menu contextuel. Wireshark fournit une interface graphique puissante et il existe une règle d'or pour les analystes qui ne souhaitent pas écrire de requêtes pour des tâches de base : "Si vous pouvez cliquer dessus, vous pouvez le filtrer et le copier".
Ces statistiques fournissent plusieurs options de statistiques prêtes à être étudiées pour aider les utilisateurs à avoir une vue d'ensemble en termes de portée du trafic, de protocoles disponibles, de points de terminaison et de conversations, ainsi que certains détails spécifiques aux protocoles tels que DHCP, DNS et HTTP/2. Pour un analyste de sécurité, il est crucial de savoir comment utiliser les informations statiques. Cette section fournit un résumé rapide du pcap traité, qui aidera les analystes à créer une hypothèse pour une enquête. Vous pouvez utiliser le "Statistiques" menu pour afficher toutes les options disponibles.
Réponses de la salle
Quel est le nombre total de paquets ?
Quel est le Hachage SHA256 valeur du fichier de capture ?
Quelle est la date d'arrivée du colis ? (Format de réponse : Mois/Jour/Année)
Quelle est la valeur TTL ?
Quelle est la taille de la charge utile TCP ?
Quelle est la valeur de l'e-tag ?
Allez au paquet 12 et lisez les commentaires. Quelle est la réponse?
Il y a un ".SMS" fichier à l’intérieur du fichier de capture. Trouvez le fichier et lisez-le ; comment s'appelle l'extraterrestre ?
Consultez la section d'informations sur les experts. Quel est le nombre d'avertissements ?
Quel est le nombre de paquets affichés ?
Accédez au paquet numéro 33790 et suivez le flux. Quel est le nombre total d'artistes ?
Quel est le nom du deuxième artiste ?
Quel est le nombre de conversations IPv4 ?
Combien d'octets (k) ont été transférés depuis l'adresse MAC « Micro-St » ?
Quel est le nombre d’adresses IP liées à « Kansas City » ?
Quelle adresse IP est liée à l’organisation AS « Blicnet » ?
Quelle est l’adresse de destination IPv4 la plus utilisée ?
Quel est le temps de réponse maximum aux demandes de service des paquets DNS ?
Quel est le nombre de requêtes HTTP réalisées par « rad[.]msn[.]com ?
Quel est le nombre de paquets avec une « valeur TTL inférieure à 10 » ?
Quel est le nombre de paquets qui utilisent le « port TCP 4444 » ?
Quel est le nombre de requêtes « HTTP GET » envoyées sur le port « 80 » ?
Quel est le nombre de « type A » DNS Des requêtes » ?
Trouvez tous les serveurs Microsoft IIS. Quel est le nombre de paquets dotés de la « version 7.5 » ?
Quel est le nombre total de paquets utilisant les ports 3333, 4444 ou 9999 ?
Quel est le nombre de paquets avec des « numéros TTL pairs » ?
Changez le profil en « Contrôle de la somme de contrôle ». Quel est le nombre de paquets « Bad TCP Checksum » ?
Utilisez le bouton de filtrage existant pour filtrer le trafic. Quel est le nombre de paquets affichés ?
Vidéo pas à pas