WireShark使用技巧
本文总结自https://www.malware-traffic-analysis.net/tutorials/index.html
1. 界面排列
在 编辑->首选项->外观->列 里面可以增加或删除相应的列,比如可以把序号、协议等删除,添加源端口、目的端口。
在 视图->时间显示格式 选择 日期和时间,然后选择 秒。
在Column上右键,选择左对齐。
在Host上右键,选择应用为列
最后结果如图所示。
底下的这些都可以应用为列,依照实际需求自己选择。
2. 在网络中定位被感染主机
被感染主机使用DHCP协议来获取IP地址,因此可以通过DHCP流量来查找该主机。
已知:IP地址 192.168.1.105
可以通过过滤DHCP流量来定位该主机。
ip.addr192.168.1.105 && udp.port67
可以查到该主机MAC地址和主机名
也可以检查NBNS(NetBIOS Name Service)流量,Windows主机在连接网络之后会通过NBNS注册主机。
ip.addr==192.168.1.105 && nbns
如果没有DHCP和NBNS流量,可以查找SMB和Netbios。
ip.addr==192.168.1.105 && netbios
ip.addr==192.168.1.105 && smb
可以Find Packet。查找字符串值,十六进制值等。
开始流量分析练习,每天一道题