Χρήσιμα φίλτρα στο Wireshark & Challenge

Ένα εργαλείο σε γραφικό περιβάλλον που χρησιμοποιείται αρκετά συχνά στον κύκλο των pentester και σε network administrators είναι το Wireshark που ανήκει στην κατηγορία των packet analyzer.  Τυπικά χρησιμοποιείται για troubleshooting στο Layer 3(packet) και για ανάλυση απόδοσης στο WLAN (Ασύρματο δίκτυο), LAN. Είναι ένα δωρεάν πρόγραμμα, ανοιχτού κώδικα (open-source), γραμμένο σε γλώσσα C και σε κάποιες διανομές Linux είναι ήδη προ εγκατεστημένο.

Για όσους δεν το έχουν, μπορούν να το κατεβάσουν από την επίσημη σελίδα της εφαρμογής:


 

https://www.wireshark.org/download.html

Σε μερικούς θα φανούν χρήσιμα τα παρακάτω φίλτρα:

• eth.addr/eth.dst.eth.src [MAC]
• rip.auth.passwd [RIP password]
• tcp.port/tcpdstport/tcpsrcport [TCP ports]
• tcp.flags [TCP flags]
• udp.port/udpdstport/udp.srcport [UDP Ports]
• http.authbasic [Basic Authentication]
• http.www_authentication [HTTP Authentication]
• http.data [HTTP Data portion]
• http.cookie [HTTP cookie]
• http.referer [HTTP referer]
• http.server [HTTP server]
• http.user_agent [HTTP user agent]
•  wlan.fc.type eq 0 [802.11 management frame]
•  wlan.fc.type eq 1 [802.11 control frame]
•  wlan.fc.type eq 2 [802.11 data frame]
• wlan.fc.type_subtype eq 0 (1=response) [802.11association request]
• wlan.fc.type_subtype eq 2 (3=response) [802.11reassociation request]
• wlan.fc.type_subtype eq 4 (5=response) [802.11probe request]
• wlan.fc.type_subtype eq 8 [802.11 beacon frame]
• wlan.fc.type_subtype eq 10 [802.11 disassociate]
• wlan.fc.type_subtype eq 11 (12=deauthenticate) [802.11 authenticate]

Αυτά είναι μερικά από τα φίλτρα που ίσως χρειαστεί να διαβάσετε το παρακάτω βιβλίο για να τα βρείτε. Εδώ εγώ απλά μάζεψα μερικά που δουλεύω αρκετά συχνά.

Όσοι ασχολούνται με ασύρματα δίκτυα θα τους πρότεινα να ρίξουν μία ματιά σε αυτά τα εργαλεία τα οποία δίνουν μεγαλύτερη έμφαση στον έλεγχο ασφάλειας όπως είναι το Fluke Networks Airmagnet Wifi analyzer, αλλά και τοMotorola Airdefense Mobile.

Σκέψεις για την ασφάλεια μας

• Τι θα μπορούσε όμως να κάνει κάποιος με αυτό το εργαλείο;
• Θα μπορούσε να δει κωδικούς;
• Θα μπορούσε να δει φωτογραφίες,zip αρχεία και άλλα πολλά;

Φυσικά και θα μπορούσε… και χωρίς να κουραστεί καθόλου μάλιστα!  Χωρίς να μπορέσει κανένα από τα συστήματα ασφάλειας μας (IDS/IPS,WIDS/WIPS) να τον σταματήσει μια και δεν κάνει τίποτα απλά «ακούει» την κίνηση του δικτύου.

Challenge

Ορίστε και μία πρόκληση που θα δημοσιεύσω την απάντηση της στο PentestLibrary την επόμενη εβδομάδα.

Κάποιος κακόβουλος Hacker «ακούει» το δίκτυο μας με το Wireshark και εμείς ανεβάζουμε μία εικόνα στο γνωστό σε όλους Speedyshare. Μπορεί να δει την εικόνα που ανεβάσαμε;

Σας δίνω το αρχείο PCAP του επιτιθέμενου http://www.speedyshare.com/Q38Up/download/wireshark-file2

Έτσι ίσως έχετε και μία καλύτερη εικόνα του εργαλείου :)

Τροφή για το μυαλό

1. http://wiresharkbook.com/troubleshooting.html