====================
Wireshark
====================
0. Stream filter
tcp.stream eq 14
1. Protocol filter
snmp || dns || icmp || http
* SNMP(Simple Network Management Protocol) : 네트워크 장비를 관리 감시하기 위한 목적, 네트워크 관리자가 네트워크 성능을 관리하고 네트워크 문제점을 찾아 수정하는데 도움
* DNS(Domain Name System) : 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발
* icmp(Internet Control Message ProtocolInternet Control Message Protocol) : 네트워크 컴퓨터 위에서 돌아가는 운영체제에서 오류 메시지를 전송받는 데 주로 쓰임
2. IP filter
ip.addr == 10.1.1.1 (Source & Destination)
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.dst == 10.36.115.40
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
ip.addr==174.137.42.75 and ip.addr==10.36.115.40 (to look up the conversation)
4. Port filter
tcp.port == 25 (Source & Destination)
tcp.dstport == 25
tcp.srcport == 80
tcp.flags
4. TCP filter
tcp.flags.syn : 세션을 설정하는 데에 사용되며 초기에 시퀀스 번호를 보냄
tcp.flags.ack :
snmp || dns || icmp || http
* SNMP(Simple Network Management Protocol) : 네트워크 장비를 관리 감시하기 위한 목적, 네트워크 관리자가 네트워크 성능을 관리하고 네트워크 문제점을 찾아 수정하는데 도움
* DNS(Domain Name System) : 도메인 이름을 호스트의 네트워크 주소로 바꾸거나 그 반대의 변환을 수행할 수 있도록 하기 위해 개발
* icmp(Internet Control Message ProtocolInternet Control Message Protocol) : 네트워크 컴퓨터 위에서 돌아가는 운영체제에서 오류 메시지를 전송받는 데 주로 쓰임
2. IP filter
ip.addr == 10.1.1.1 (Source & Destination)
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
ip.dst == 10.36.115.40
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
ip.addr==174.137.42.75 and ip.addr==10.36.115.40 (to look up the conversation)
4. Port filter
tcp.port == 25 (Source & Destination)
tcp.dstport == 25
tcp.srcport == 80
tcp.flags
4. TCP filter
tcp.flags.syn : 세션을 설정하는 데에 사용되며 초기에 시퀀스 번호를 보냄
tcp.flags.ack :
5. Search
http.host contains google
ctrl + f > string search -> packet list, packet details, packet bytes
ctrl + n > next search
ctrl + b > previous search
----------------------------------------
1. File > Export Objects > HTTP
http 소스, 이미지 등의 파일 리소스 추출
2. Content -Encoding: gzip
.gz 으로 저장해서 압축을 풀어 확인
3. File > Export Specified packet > 하단 Packet Range 에서 Displayed 선택 후 저장
필터링 된 패킷을 다시 분석하고 싶을때
====================
Malzilla
====================
1. Misc Decoders > USC2 To Hex
유니코드를 hex로 변환
2. Hex View -> 악성 javascript 분석
string to find : http
Key : bd (xor)
====================
NetworkMiner
====================
호스트 리스트를 한눈에 볼 수 있고, 파일이나 이미지 목록을 바로 받아볼 수 있는 장점
필터를 자유롭게 걸 수 없다는 단점
====================
TCP
====================
1. 방화벽으로 인해서 해당 페이지에 접근은 차단
- 3 Way hand shake -
서비스 port 가 열려 있을 경우 SYN+ACK 패킷 회신 후 ACK 를 전송
서비스 port 가 닫혀 있는 경우 RST+ACK 패킷을 회신
Wireshark에서는 RST ACK 이 빨간색으로 나타남
RST ACK 만 확인하고 싶으면 tcp.flags.reset ==1 로 필터링
댓글 없음:
댓글 쓰기