Filtrage des journaux capturés à l'aide de Wireshark

1

J'essaie d'utiliser Wireshark pour détecter les paquets et les journaux de bord, et je me rends vite compte que je ne suis pas aussi sûr que je devrais l'être lorsque j'utilise des points d'accès publics. Dans le but de mieux me protéger, j'essaie d'apprendre les outils du métier , de déterminer ce que je fuis et comment le trouver.

J'ai un Macbook Pro 2011 et j'utilise la airportcommande (Google vous aidera à créer un lien symbolique si vous êtes intéressé) pour détecter les données d'un paquet à l'aide de ma carte sans fil ( en1) sur un canal spécifique.

sudo airport en1 sniff 6

En 60 secondes, j'ai capturé environ 2 Mo de données. J'habite dans un complexe d'appartements et un scan a montré (sans surprise) que la plupart des réseaux étaient sur le canal 6, c'est donc celui que j'ai reniflé. (Ceci est également le canal que mon routeur WiFi utilise.)

Mais, à la question: pendant que je reniflais la chaîne, j’ai utilisé un deuxième appareil avec WiFi pour me connecter (de manière non sécurisée, HTTP) à Facebook et me connecter. Le but de cet exercice était de déterminer si je pouvais retrouver mon propre mot de passe caché les paquets quelque part.

J'ai essayé d'utiliser quelques filtres différents dans Wireshark pour réduire le trafic, mais rien ne semblait correspondre aux filtres que j'ai essayés:

http.request.uri matches "facebook"

Et aussi:

ip.addr == 66.220.149.76(Ceci est l'adresse IP pour m.facebook.com, j'utilisais un téléphone intelligent.)

Mais aucun trafic ne semblait correspondre au filtre. Je suis très nouveau dans ce domaine, donc je ne sais pas trop quelle étape j'ai ratée.

  1. Est-ce important que mon routeur ne diffuse pas de SSID?
  2. Mes filtres sont-ils correctement formatés / définis?
  3. Devrais-je balayer sur un autre canal? Mon routeur est spécifiquement défini sur 6, et non sur Auto ou toute autre option.
Craig Otis
la source

Réponses:

0

Vous avez probablement voulu http.request.full_uri, qui rassemble l'URI complet en combinant le contenu de l'en- Host:tête HTTP avec l'URI de la GET /some/uri/here HTTP/1.1ligne. Vous avez probablement aussi voulu "contient" au lieu de "correspond".

http.request.full_uri contains "facebook"

Ne perdez pas de temps à essayer de filtrer une adresse IP à moins que ce ne soit un domaine ou un hôte que vous contrôlez, et vous savez avec certitude qu'il ne possède qu'une seule adresse IP. La plupart des sites connus ont plusieurs adresses IP.

Ma réponse pourrait également vous intéresser: d' autres personnes sur un AP Wi-Fi crypté peuvent-elles voir ce que vous faites?

Spiff
la source
Chose intéressante, ce filtre ne fonctionne pas non plus. J'ai ouvert le fichier de paquets en utilisant TextWrangler et j'étais capable de rechercher "facebook" (et en ai trouvé quelques mentions) mais WireShark ne trouve toujours rien lors de l'utilisation des filtres.
Craig Otis