วิธีสังเกต Three-way Handshake
สังเกตหาก Info ที่มีการติดต่อเรียงกันดังนี้
- [SYN]
- [SYN, ACK]
- [ACK]
จะเป็น Three-way Handshake
หากเป็นการเชื่อมต่อที่มีการเข้ารหัส (SSL) จะไม่สามารถอ่านข้อมูลภายในได้ ไม่ว่ากรณีใดก็ตาม(เว้นแต่จะมีกุญแจสำหรับถอดรหัส)
การสังเกตุการ Query DNS (เอา Domain ไปหา IP)
จะมีคำว่า Standard query หรือ A , CNAME
การดู SMTP (Mail) ผู้รับ ผู้ส่ง
การดู Layer การทำงานต่าง ๆ ใน wireshark
ให้เลือก Traffic ที่ต้องการดูจากนั้นคลิก 1 ครั้งจะแสดงผลที่ช่องด้านล่าง
(ตัวอย่างเป็นการตอบกลับจาก Server 80->3372 จึงกลับกันระหว่าง src และ dst)
หากต้องการทราบ MAC Address (Physical Address) ให้ดูที่ Physical Layer (คลิกที่ชื่อ Interface ของ Network Card)
หากต้องการทราบ IP Address ของผู้รับและผู้ส่งให้ดูที่ Network Layer (Internet Protocol Version 4/6)
ดูที่ Src. => ผู้ส่ง | Dst. => ผู้รับ
หากต้องการทราบว่าผู้ใช้ ใช้ Service อะไรให้ดูที่ Transport Layer
ดูที่ Src Port: => ผู้ส่ง | Dst port: => ผู้รับ
Port มาตรฐานที่ใช้กับ Service ต่าง ๆ มีดังนี้ (คาดเดาว่าออกแค่แถวแรกเท่านั้น)
