WireShark使用技巧

WireShark使用技巧

本文总结自https://www.malware-traffic-analysis.net/tutorials/index.html

1. 界面排列

在 编辑->首选项->外观->列 里面可以增加或删除相应的列，比如可以把序号、协议等删除，添加源端口、目的端口。

在 视图->时间显示格式 选择 日期和时间，然后选择 秒。

在Column上右键，选择左对齐。

在Host上右键，选择应用为列

最后结果如图所示。

底下的这些都可以应用为列，依照实际需求自己选择。

2. 在网络中定位被感染主机

被感染主机使用DHCP协议来获取IP地址，因此可以通过DHCP流量来查找该主机。

已知：IP地址 192.168.1.105

可以通过过滤DHCP流量来定位该主机。

ip.addr192.168.1.105 && udp.port67

可以查到该主机MAC地址和主机名

也可以检查NBNS(NetBIOS Name Service)流量，Windows主机在连接网络之后会通过NBNS注册主机。

ip.addr==192.168.1.105 && nbns

如果没有DHCP和NBNS流量，可以查找SMB和Netbios。

ip.addr==192.168.1.105 && netbios

ip.addr==192.168.1.105 && smb

可以Find Packet。查找字符串值，十六进制值等。

开始流量分析练习，每天一道题