Abbiamo trattato un'introduzione completa a Wireshark, lo strumento di analisi dei pacchetti. Abbiamo esaminato le sezioni principali, acquisizione del traffico, dissezione e analisi dei pacchetti, estraendo statistiche di protocollo sul traffico catturato oltre ad analizzare e spiegare i dettagli dei pacchetti e la navigazione. Questo faceva parte ProvaHackMe Wireshark Le nozioni di base & Operazioni sui pacchetti TryHackMe che fanno parte di TryHackMe SOC Livello 1.
Ottieni appunti sullo studio sull'analisi del traffico di rete
Il corso pratico completo sul framework Metasploit
Video in evidenza
Wireshark è uno strumento di analisi dei pacchetti di rete open source e multipiattaforma in grado di annusare e indagare sul traffico in tempo reale e di ispezionare le acquisizioni di pacchetti (PCAP). È comunemente usato come uno dei migliori strumenti di analisi dei pacchetti. In questa stanza esamineremo le nozioni di base di Wireshark e lo utilizzeremo per eseguire l'analisi fondamentale dei pacchetti.
Wireshark è uno degli strumenti di analisi del traffico più potenti disponibili in natura. Gli scopi del suo utilizzo sono molteplici:
- Rilevamento e risoluzione dei problemi di rete, come punti di guasto del carico di rete e congestione.
- Rilevamento di anomalie di sicurezza, come host non autorizzati, utilizzo anomalo delle porte e traffico sospetto.
- Indagare e apprendere i dettagli del protocollo, come codici di risposta e dati del carico utile.
La dissezione dei pacchetti è nota anche come dissezione del protocollo, che indaga i dettagli del pacchetto decodificando i protocolli e i campi disponibili. Wireshark supporta un lungo elenco di protocolli per la dissezione e puoi anche scrivere i tuoi script di dissezione. Puoi trovare maggiori dettagli sulla dissezione Qui.
Wireshark dispone di un potente motore di filtro che aiuta gli analisti a restringere il traffico e concentrarsi sull'evento di interesse. Wireshark ha due tipi di approcci di filtraggio: filtri di acquisizione e visualizzazione. I filtri di acquisizione vengono utilizzati per “catturare” solo i pacchetti validi per il filtro utilizzato. I filtri di visualizzazione vengono utilizzati per “visione” i pacchetti validi per il filtro utilizzato.
I filtri sono query specifiche progettate per i protocolli disponibili nel riferimento al protocollo ufficiale di Wireshark. Sebbene i filtri siano solo un'opzione per indagare sull'evento di interesse, esistono due modi diversi per filtrare il traffico e rimuovere il rumore dal file di acquisizione. Il primo utilizza le query e il secondo utilizza il menu di scelta rapida. Wireshark fornisce una potente GUI e esiste una regola d'oro per gli analisti che non vogliono scrivere query per attività di base: “Se puoi cliccarci sopra, puoi filtrarlo e copiarlo”.
Queste statistiche forniscono molteplici opzioni statistiche pronte per essere analizzate per aiutare gli utenti a vedere il quadro generale in termini di portata del traffico, protocolli disponibili, endpoint e conversazioni e alcuni dettagli specifici del protocollo come DHCP, DNS e HTTP/2. Per un analista della sicurezza, è fondamentale sapere come utilizzare le informazioni statiche. Questa sezione fornisce un breve riepilogo del pcap elaborato, che aiuterà gli analisti a creare un'ipotesi per un'indagine. Puoi usare il “Statistiche” menu per visualizzare tutte le opzioni disponibili.
Risposte in camera
Qual è il numero totale di pacchetti?
Quale è Hash SHA256 valore del file di acquisizione?
Qual è la data di arrivo del pacco? (Formato della risposta: mese/giorno/anno)
Qual è il valore TTL?
Qual è la dimensione del carico utile TCP?
Qual è il valore dell'e-tag?
Vai al pacchetto 12 e leggi i commenti. Qual è la risposta?
C'è un ".TXT" file all'interno del file di acquisizione. Trova il file e leggilo; come si chiama l'alieno?
Guarda la sezione informazioni degli esperti. Qual è il numero di avvisi?
Qual è il numero di pacchetti visualizzati?
Vai al pacchetto numero 33790 e seguire il flusso. Qual è il numero totale degli artisti?
Come si chiama il secondo artista?
Qual è il numero di conversazioni IPv4?
Quanti byte (k) sono stati trasferiti dall'indirizzo MAC “Micro-St”?
Qual è il numero di indirizzi IP collegati a "Kansas City"?
Quale indirizzo IP è collegato all'organizzazione AS “Blicnet”?
Qual è l'indirizzo di destinazione IPv4 più utilizzato?
Qual è il tempo massimo di richiesta-risposta del servizio dei pacchetti DNS?
Qual è il numero di richieste HTTP eseguite da “rad[.]msn[.]com?
Qual è il numero di pacchetti con un "valore TTL inferiore a 10"?
Qual è il numero di pacchetti che utilizzano la "porta TCP 4444"?
Qual è il numero di richieste “HTTP GET” inviate alla porta “80”?
Qual è il numero di "tipo A DNS Interrogazioni"?
Trova tutti i server Microsoft IIS. Qual è il numero di pacchetti che hanno la "versione 7.5"?
Qual è il numero totale di pacchetti che utilizzano le porte 3333, 4444 o 9999?
Qual è il numero di pacchetti con "numeri TTL pari"?
Modificare il profilo in "Controllo checksum". Qual è il numero di pacchetti "Bad TCP Checksum"?
Utilizza il pulsante di filtro esistente per filtrare il traffico. Qual è il numero di pacchetti visualizzati?
Videoprocedura dettagliata