Tutorials

📘 Wireshark - Analisi di PCAP e Filtri Operativi

Obsidian Notes – Appunti di Studio eJPT - Host & Network Penetration Testing ---

#networking

📘 Wireshark - Analisi di PCAP e Filtri Operativi

Obsidian Notes – Appunti di Studio eJPT - Host & Network Penetration Testing

📑 Introduzione a Wireshark

Wireshark è uno strumento open-source per la cattura e l’analisi dei pacchetti di rete. È utilizzato in ambito enterprise per:

  • Analisi delle performance di rete
  • Identificazione di vulnerabilità
  • Studio di compromissioni e traffico malevolo
  • Reverse engineering di protocolli di rete

🛠️ Filtri Operativi Essenziali

I display filters di Wireshark sono fondamentali per estrarre rapidamente informazioni utili da un grande flusso di dati.

ObiettivoFiltroDescrizione
HTTP Response 200http.response.code == 200Visualizza tutte le risposte HTTP con codice 200 (OK).
HTTP TraffichttpVisualizza tutto il traffico HTTP.
NetBIOS Name ServicenbnsVisualizza traffico NetBIOS Name Service per ottenere i nomi host Windows.

Nota Operativa: 🔵 I filtri possono essere combinati con operatori logici (&&, ||, !) per ricerche più sofisticate.

🧩 CTF: Analisi Pratica di un file .pcap

🔹 Q1: Identificare l'URL Accessato con Risposta 200 OK

Procedura:

1. Aprire il file test.pcap con Wireshark. 2. Applicare il filtro:

plaintext
http.response.code == 200
3. Espandere il protocollo Hypertext Transfer Protocol e individuare il campo Request URI. 4. Estrarre il dominio.

🔹 Q2: IP e MAC Address del Client Windows Infected

Procedura:

1. Applicare il filtro:

plaintext
http
2. Cercare richieste relative a "Windows Defender". 3. Individuare l'IP di origine nella colonna Source: 10.7.10.47 4. Espandere il protocollo Ethernet II per ricavare il MAC Address di origine: 80:86:5b:ab:1e:c4

🔹 Q3: Determinazione dell’Hostname tramite NetBIOS

Procedura:

1. Applicare il filtro:

plaintext
nbns
2. Espandere il pacchetto NetBIOS Name Service > Queries. 3. Individuare il campo Name.

Hostname rilevato: DESKTOP-9PEA63H

🔹 Q4: Utente Infettato che ha eseguito il File PS1

Procedura:

1. Rimuovere eventuali filtri attivi. 2. Avviare una ricerca con CTRL + F: - Modalità: String - Stringa: mystery_file.ps1 - Campo di ricerca: Packet Bytes 3. Estrazione del contenuto come Printable Text. 4. Analisi del testo estratto: identificazione dell'utente.

Utente identificato: rwalters

🔹 Q5: User-Agent del Traffico PowerShell

Procedura:

1. Ricerca con CTRL + F: - Stringa: PowerShell - Campo di ricerca: Packet Details 2. Espandere Hypertext Transfer Protocol e analizzare il campo User-Agent.

User-Agent rilevato: WindowsPowerShell

🔹 Q6: ID Estensione Wallet Coinbase

Procedura:

1. Ricerca con CTRL + F: - Stringa: Coinbase - Campo di ricerca: Packet Bytes 2. Identificare il pacchetto principale. 3. Seguire il flusso TCP: Follow > TCP Stream (Ctrl+Alt+Shift+T) 4. Analizzare il contenuto e trovare l'ID.

Extension ID trovato: hnfanknocfeofbddgcijnmhnfnkdnaad

📌 Riepilogo Best Practice nell'uso di Wireshark per CTF

TecnicaApplicazione
Uso dei filtri precisiPermette di ridurre la quantità di traffico da analizzare
Espansione protocolliEstrazione di dettagli fondamentali (IP, MAC, Hostname)
Ricerca Stringhe & Packet BytesIdentificazione rapida di payload o nomi file
Analisi Flussi TCPRicostruzione della comunicazione tra client/server

Note Importanti:

  • 🔵 Durante il pentesting reale, ricordare di rispettare le policy di sicurezza e il principio di minimizzazione dei dati raccolti.
  • 🔵 In attività DFIR (Digital Forensics and Incident Response), l'analisi di file PCAP è spesso combinata con strumenti di timeline analysis e parsing avanzato.