Uma das boas respostas sobre esta questão de saber qual a porta exata a procurar e expandir é se você usa outra protocolo de análise, por exemplo, Microsoft Message Analyzer v1.4 ou Snort.
Mas como disse no curso, é uma questão de foco, usando o comando abaixo podemos ir direto nas portas que sabemos que são mais comuns e vulneráveis. Diria aqui para você ir procurando alguns padrões no seu sistema captado.
Pegue a porta por netstat, caso seja seu sistema:
netstat -b
E depois defina o filtro assim:
tcp.port == número da porta.
Separo aqui para você algumas portas e comandos que geralmente encontramos em Wireshark nos cursos e na vida real:
1. ip.addr == 10.0.0.1 [Define um filtro para qualquer pacote com 10.0.0.1, como fonte ou destino]
2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [define um filtro de conversação entre os dois endereços IP definidos]
3. http ou dns [define um filtro para exibir todos os http e dns]
4. tcp.port == 4000
5. tcp.flags.reset == 1 [exibe todas as reinicializações TCP]
6. http.request [exibe todos os pedidos HTTP GET]
7. tcp contém tráfego [exibe todos os pacotes TCP que contêm a palavra "tráfego". Excelente ao procurar em uma string específica ou ID do usuário]
8. ! (Arp or icmp or dns) [mascara arp, icmp, dns ou qualquer outro protocolo pode ser ruído de fundo. Permitindo que você se concentre no tráfego de interesse]
Preste atenção aqui na integração como sendo negativa no processo.
9. udp contains 33:27:58 [define um filtro para os valores HEX de 0x33 0x27 0x58 em qualquer deslocamento]
10. tcp.analysis.retransmission [exibe todas as retransmissões no rastreamento. Ajuda ao rastrear o desempenho lento da aplicação e a perda de pacotes]
Lógico, sempre utilizar o Follow TCP Stream para aprofundar o que não parece tão inofensivo.
Referencias:
https://www.snort.org/
http://www.softpedia.com/get/Network-Tools/Protocol-Analyzers-Sniffers/
http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html
No Windows:
Use o comando netstat -nab. O exemplo a seguir mostra a saída desse comando:
netstat -nab
TCP 0.0.0.0:8888 0.0.0.0:0 LISTENING 7172 [_mprosrv.exe]
Use o Gerenciador de tarefas para procurar o PID e obter a linha de comando completa.
No comments:
Post a Comment