Wireshark 是一种开源、跨平台的网络数据包分析工具,能够嗅探和调查实时流量并检查数据包捕获 (PCAP)。它通常 被用作最好的数据包分析工具之一。
数据包过滤操作
ip过滤器
IP 过滤器帮助分析人员根据来自数据包(OSI 模型的网络层)的 IP 级别信息过滤流量。这是 Wireshark 中最常用的过滤器之一。这些过滤器过滤网络级信息,如 IP 地址、版本、生存时间、服务类型、标志和校验和值。
筛选 描述
ip 显示所有 IP 数据包。
ip.addr == 10.10.10.111 显示所有包含 IP 地址 10.10.10.111 的数据包。
ip.addr == 10.10.10.0/24 显示所有包含来自 10.10.10.0/24 子网的 IP 地址的数据包。
ip.src == 10.10.10.111 显示所有来自 10.10.10.111 的数据包
ip.dst == 10.10.10.111 显示发送到 10.10.10.111 的所有数据包
TCP和UDP过滤器
TCP过滤器可帮助分析人员根据来自数据包(OSI 模型的传输层)的协议级信息过滤流量。这些过滤器过滤传输协议级别的信息,如源端口和目标端口、序列号、确认号、窗口大小、时间戳、标志、长度和协议错误。
| 筛选 | 描述 | 筛选 | 表达 |
|---|---|---|---|
| tcp.port == 80 | 查看所有80端口的 TCP数据包 | udp.port == 53 | 显示所有端口为 53 的UDP数据包 |
| tcp.srcport == 1234 | 显示来自端口 1234 的所有TCP数据包 | udp.srcport == 1234 | 显示所有来自端口 1234 的UDP数据包 |
| tcp.dstport == 80 | 显示发送到端口 80 的所有TCP数据包 | udp.dstport == 5353 | 显示发送到端口 5353 的所有UDP数据包 |
应用层http|dns
应用层协议过滤器帮助分析人员根据来自数据包(OSI 模型的应用层)的应用协议层信息过滤流量。这些过滤器根据协议类型过滤特定于应用程序的信息,例如有效负载和链接数据。
| 筛选 | 描述 | 筛选 | 表达 |
|---|---|---|---|
| http | 显示所有HTTP数据包 | dns | 显示所有DNS数据包 |
| http.response.code == 200 | 显示所有带有HTTP响应代码“200”的数据包 | dns.flags.response == 0 | 显示所有DNS请求 |
| http.request.method == "GET" | 显示所有HTTP GET 请求 | dns.flags.response == 1 | 显示所有DNS响应 |
| http.request.method == "POST" | 显示所有HTTP POST 请求 | dns.qry.type == 1 | 显示所有DNS “A”记录 |
分析 --> 显示过滤器菜单表达式 :查看更多过滤语法
高级过滤
contains
在数据包中搜索一个值。它区分大小写,并通过关注特定字段提供与“查找”选项类似的功能。
例子 查找所有“Apache”服务器。
流程 列出所有数据包的“服务器”字段包含“Apache”关键字的HTTP数据包。
用法 http.server contains "Apache"
matches
搜索正则表达式的模式。它不区分大小写,复杂的查询有一定的误差范围。
例子 查找所有 .php 和 .html 页面。
流程 列出所有 数据 包的“主机”字段匹配关键字“.php”或“.html”的HTTP数据包。
用法 http.host matches "\.(php|html)"
in
搜索特定范围/范围内的值或字段。
例子 查找所有使用端口 80、443 或 8080 的数据包。
流程 列出数据包的“端口”字段值为 80、443 或 8080 的所有TCP数据包。
用法 tcp.port in {80 443 8080}
upper
将字符串值转换为大写。
例子 查找所有“APACHE”服务器。
流程 将所有 HTTP 数据包的“服务器”字段转换为大写并列出包含“APACHE”关键字的数据包。
用法 upper(http.server) contains "APACHE"
lower
将字符串转化为小写
string
将非字符串值转化为字符串。
例子 找出所有奇数帧
流程 将所有“帧编号”字段转换为字符串值,并列出以奇数结尾的帧。
用法 string(frame.number) matches "[13579]$"
Wireshark:流量分析
nmap扫描
Nmap 是一种行业标准工具,用于映射网络、识别实时主机和发现服务。由于它是最 常用的网络扫描工具之一,安全分析师应该识别使用它创建的网络模式。
- tcp连接扫描
- syn扫描
- udp扫描
TCP——flag
标志位说明:https://www.cnblogs.com/-Lucky-/p/17213717.html
| 笔记 | wireshark 过滤器 |
|---|---|
| 全局搜索 | tcp udp |
| 只有 SYN 标志 | tcp.flags == 2 |
| SYN 标志已设置。其余位并不重要 | tcp.flags.syn == 1 |
| 只有 ACK 标志 | tcp.flags == 16 |
| 设置 ACK 标志。其余位并不重要 | tcp.flags.ack == 1 |
| 只有 SYN、ACK 标志 | tcp.flags == 18 |
| SYN 和 ACK 已设置。其余位并不重要 | (tcp.flags.syn == 1) and (tcp.flags.ack == 1) |
| 只有 RST 标志 | tcp.flags == 4 |
| RST 标志已设置。其余位并不重要 | tcp.flags.reset == 1 |
| 只有 RST、ACK 标志 | tcp.flags == 20 |
| RST 和 ACK 被设置 其余位并不重要 | (tcp.flags.reset == 1) and (tcp.flags.ack == 1) |
| 只有 FIN 标志 | tcp.flags == 1 |
| FIN 标志已设置。其余位并不重要 | tcp.flags.fin == 1 |
TCP连接扫描,三次握手
tcp端口开放
SYN -->
<-- SYN,ACK
ACK -->
SYN -->
<-- SYN, ACK
ACK -->
RST, ACK -->
tcp端口关闭
SYN -->
<-- RST, ACK
捕获 TCP连接扫描模式
tcp.flags.syn==1 and tcp.flags.ack==0 and tcp.window_size > 1024
SYN扫描
端口开放
SYN -->
<-- SYN,ACK
RST-->
端口关闭
SYN -->
<-- RST,ACK
捕获 TCP SYN 扫描模式
tcp.flags.syn==1 and tcp.flags.ack==0 and tcp.window_size <= 1024
UDP扫描, 无连接
端口开放
UDP packet -->
关口关闭
UDP packet -->
ICMP Type 3, Code 3 message. (Destination unreachable, port unreachable)
捕获 UDP扫描模式
icmp.type==3 and icmp.code==3
示例
TCP 连接扫描的总数是多少
tcp.flags.syn==1 and tcp.flags.ack==0 and tcp.window_size > 1024
有多少“UDP close port”消息?
icmp.type==3 and icmp.code==3
ARP欺骗(中间人攻击)
ARP 协议或 地址解析协议( ARP ) 是一种允许设备在网络上识别自己的技术 。地址解析协议中毒(也称为ARP欺骗或中间人 (MITM) 攻击)是一种涉及通过向默认网关发送恶意 ARP 数据包来干扰/操纵网络的攻击。最终目的是操纵“IP转MAC地址表”,嗅探目标主机的流量。
全局搜索:arp
arp请求:arp.opcode == 1
arp响应:arp.opcode == 2
arp扫描:arp.dst.hw_mac==00:00:00:00:00:00
可能的ARP欺骗检测:arp.duplicate-address-detected or arp.duplicate-address-frame
检测到可能的ARP泛洪:((arp) && (arp.opcode == 1)) && (arp.src.hw_mac == target-mac-address)
识别主机
DHCP
DHCP 协议,或 动态主机 配置协议(DHCP), 是负责管理自动IP地址和 所需 通信参数分配的技术。
全局搜索 dhcp
DHCP Request数据包包含主机名信息 dhcp.option.dhcp == 3
DHCP ACK数据包表示已接受的请求 dhcp.option.dhcp == 5
DHCP NAK数据包代表被拒绝的请求 dhcp.option.dhcp == 6
DHCP Request 选项
主机名,客户端mac地址
dhcp.option.hostname contains 'keyword'
DHCP ACK 选项
域名
dhcp.option.domain_name contains "keyword"
隧道流量
ICMP
Internet 控制消息协议 (ICMP) 旨在诊断和报告网络通信问题。它在错误报告和测试中被广泛使用。由于它是一种受信任的网络层协议,有时它被用于拒绝服务(DoS)攻击;此外,攻击者还会将其用于数据泄露和 C2 隧道活动。
全局搜索:icmp
数据包长度,目标地址,封装协议
data.len > 64 and icmp
DNS
域名系统 ( DNS ) 旨在将 IP 域地址转换/转换为 IP 地址。它也被称为互联网电话簿。由于它是 Web 服务的重要组成部分,因此被普遍使用和信任,因此经常被忽略。因此,对手将其用于数据泄露和 C2 活动。
全局搜索:dns
dns contains "dnscat"
dns.qry.name.len > 15 and !mdns
明文分析协议ftp
文件传输协议 ( FTP ) 旨在轻松传输文件,因此它侧重于简单性而非安全性。
全局搜索 ftp
x1x:信息请求响应
x2x:连接消息
x3x:身份验证消息
200标识命令成功
x1x
211:系统状态
212:目录状态
213:文件状态
ftp.response.code == 211
x2x
220:服务就绪
227:进入被动模式
228:长被动模式
229:扩展被动模式
ftp.response.code == 227
x3x
230:用户登录
231:用户注销
331:有效用户名
430:无效用户名或密码
530:没有登陆,密码无效
ftp.response.code == 230
ftp.request.command == "USER"
ftp.request.command == "PASS" 判断 FTP 请求的命令是否为 "PASS"
ftp.request.arg == "password" 判断 FTP 请求中的参数是否为 "password"
列出失败的登录尝试
ftp.response.code == 530
列出目标用户名
(ftp.response.code == 530) and (ftp.response.arg contains "username")
列出静态密码的目标
(ftp.request.command == "PASS" ) and (ftp.request.arg == "password")
明文协议分析 HTTP
超文本传输协议 ( HTTP ) 是一种基于明文的请求-响应和客户端-服务器协议。请求/提供网页是标准的网络活动类型,默认情况下,它不会被任何网络边界阻止。由于未加密和网络流量的骨干,HTTP 是流量分析中必须知道的协议之一
全局 http,http2
GET请求 http.request.method == GET
POST请求 http.request.mothod == POST
所有请求 http.request
http响应状态码
http.response.code == xxx
用户代理
http.user_agent contains "xxxx"
指向从服务器请求的资源
http.request.url contains "xxxx"
服务器 http.server contains "apache"
主机名 http.host contains "keyword"