How to safe analysis the milware in wireshark?

Most samlple cache in windows host , so if you use Kali or other linux , you can avoid the risk of infected.

How to write a forensic report by wireshark?

The report contain :

1.Date and approximate time of the infrction 

2.The infected computer`s IP

3.The infected compouter `s Mac address

4.Host name

5.Which email the employee opened

How to add a filter into a button in wireshark?

 Step1.click + in right top menu and fill in label by "Basic"

Step2.click "確定“

How to setup a environment for inspection by wireshark?

Step1.Open wireshark

Step2.Edit / Preference

Step3.click check box of Name Resolution 

Step3.right click on the column (for ex. info) and click column preference 

Step4.Note that the Dest addr ( unresolved and resolved) and the list of column

http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 and !udp.port eq 1900

How wireshark can done in a APT situation ?

General Advice on Wireshark Examples

• Pay attention to what Wireshark columns are used. They are not all the same, nor ordered the same.
• These are very “clean” captures. Even without display filters, there is little to no other traffic.
• Some things aren’t what they seem; for example, why are ICMP requests left unreplied? Much investigating needs to be done in malware analysis.
• Much more can be gleaned from a capture; for example, trying other columns or opening Analyze ⇨ Expert Information

How to know most familier protocol?

 

Wireshark常用通訊協定

名稱	意涵
QUIC	臉書在部落格揭露，現在臉書有超過75％的網際網路流量都使用QUIC（包括QUIC和HTTP/3）協定，臉書提到，QUIC在許多方面都比舊協定表現還要好，包括請求錯誤、長尾延遲以及回應標頭大小等，各種影響用戶使用體驗的指標。 廣義的來說，QUIC是一個用來代替TCP的協定，最初由Google開發，在之後Google將其提交給IETF，經過IETF重新設計與改進，成為了目前最終的QUIC版本，HTTP/3則是最新的HTTP版本，而QUIC和HTTP/3結合，能在網際網路中引入最新的功能。
LINMR
ARP	位址解析協定（英語：Address Resolution Protocol，縮寫：ARP）是一個通過解析網路層位址來找尋資料鏈路層位址的網路傳輸協定，它在IPv4中極其重要。ARP最初在1982年的RFC 826（徵求意見稿）[1]中提出並納入網際網路標準STD 37。ARP也可能指是在多數作業系統中管理其相關位址的一個行程。   ARP是通過網路位址來定位MAC位址。 ARP已經在很多網路層和資料鏈結層之間得以實現，包括IPv4、Chaosnet、DECnet和Xerox PARC Universal Packet（PUP）使用IEEE 802標準， 光纖分散式資料介面， X.25，影格中繼和非同步傳輸模式（ATM），IEEE 802.3和IEEE 802.11標準上IPv4占了多數流量。   在IPv6中鄰居發現協定（NDP）用於代替位址解析協定（ARP）。
SSDP	簡單服務發現協定（SSDP，Simple Service Discovery Protocol）是一種應用層協定，是構成通用隨插即用(UPnP)技術的核心協定之一。[1]   簡單服務發現協定提供了在局部網路裡面發現裝置的機制。控制點（也就是接受服務的客戶端）可以通過使用簡單服務發現協定，根據自己的需要查詢在自己所在的局部網路裡面提供特定服務的裝置。裝置（也就是提供服務的伺服器端）也可以通過使用簡單服務發現協定，向自己所在的局部網路裡面的控制點宣告它的存在。
TCP	傳輸控制協定（英語：Transmission Control Protocol，縮寫：TCP）是一種連接導向的、可靠的、基於位元組流的傳輸層通信協定，由IETF的RFC 793定義。在簡化的電腦網路OSI模型中，它完成第四層傳輸層所指定的功能。使用者資料報協定（UDP）是同一層內另一個重要的傳輸協定。   在網際網路協定族（Internet protocol suite）中，TCP層是位於IP層之上，應用層之下的中間層。不同主機的應用層之間經常需要可靠的、像管道一樣的連接，但是IP層不提供這樣的流機制，而是提供不可靠的包交換。
UDP	使用者資料包協定（英語：User Datagram Protocol，縮寫：UDP；又稱使用者資料包協定）是一個簡單的面向資料包的通信協定，位於OSI模型的傳輸層。該協定由David P. Reed在1980年設計且在RFC 768中被規範。典型網路上的眾多使用UDP協定的關鍵應用在一定程度上是相似的。   在TCP/IP模型中，UDP為網路層以上和應用層以下提供了一個簡單的介面。UDP只提供資料的不可靠傳遞，它一旦把應用程式發給網路層的資料傳送出去，就不保留資料備份（所以UDP有時候也被認為是不可靠的資料包協定）。UDP在IP資料包的頭部僅僅加入了復用和資料校驗欄位。   UDP適用於不需要或在程式中執行錯誤檢查和糾正的應用，它避免了協定棧中此類處理的開銷。對時間有較高要求的應用程式通常使用UDP，因為丟棄資料包比等待或重傳導致延遲更可取。
TLSV1.3 TLS V1.2	傳輸層安全性協定（英語：Transport Layer Security，縮寫：TLS）及其前身安全通訊協定（英語：Secure Sockets Layer，縮寫：SSL）是一種安全協定，目的是為網際網路通訊提供安全及資料完整性保障。網景公司（Netscape）在1994年推出首版網頁瀏覽器－網景領航員時，推出HTTPS協定，以SSL進行加密，這是SSL的起源。IETF將SSL進行標準化，1999年公布TLS 1.0標準檔案（RFC 2246）。隨後又公布TLS 1.1（RFC 4346，2006年）、TLS 1.2（RFC 5246，2008年）和TLS 1.3（RFC 8446，2018年）。在瀏覽器、電子郵件、即時通訊、VoIP、網路傳真等應用程式中，廣泛使用這個協定。許多網站，如Google、Facebook、Wikipedia等也以這個協定來建立安全連線，傳送資料。目前已成為網際網路上保密通訊的工業標準。
DNS	DNS 基本知識 網際網路上的所有電腦，從智慧型手機或筆記型電腦到為大量零售網站提供內容服務的伺服器，都是使用數字找到彼此並互相通訊。這些數字稱為 IP 地址。當您開啟 Web 瀏覽器進入網站時，不需要記住這些冗長的數字進行輸入，而是輸入像 example.com 這樣的網域名稱就可以連接到正確的位置。   Amazon Route 53 這類的 DNS 服務是一種全球分佈的服務，它將 www.example.com 這種人們可讀取的名稱轉換為 192.0.2.1 等數字 IP 地址，供電腦用於互相連接。網際網路 DNS 系統的工作原理和電話簿類似，管理名稱和數字之間的映射關係。DNS 伺服器將名稱請求轉換為 IP 地址，以控制最終使用者在 Web 瀏覽器中輸入網域名稱時要連接的伺服器。這些請求稱為查詢。
HTTP	超文本傳輸協定（英語：HyperText Transfer Protocol，縮寫：HTTP）是一種用於分佈式、協作式和超媒體訊息系統的應用層協定[1]。HTTP是全球資訊網的數據通信的基礎。   設計HTTP最初的目的是為了提供一種發布和接收HTML頁面的方法。透過HTTP或者HTTPS協定請求的資源由統一資源識別碼（Uniform Resource Identifiers，URI）來標識。   HTTP的發展是由提姆·柏內茲-李於1989年在歐洲核子研究組織（CERN）所發起。HTTP的標準制定由全球資訊網協會（World Wide Web Consortium，W3C）和網際網路工程任務組（Internet Engineering Task Force，IETF）進行協調，最終發布了一系列的RFC，其中最著名的是1999年6月公佈的 RFC 2616，定義了HTTP協定中現今廣泛使用的一個版本——HTTP 1.1。   2014年12月，網際網路工程任務組（IETF）的Hypertext Transfer Protocol Bis（httpbis）工作小組將HTTP/2標準提議遞交至IESG進行討論[2]，於2015年2月17日被批准。[3] HTTP/2標準於2015年5月以RFC 7540正式發表，取代HTTP 1.1成為HTTP的實作標準。[4]
MDNS	MDNS協議介紹 mDNS multicast DNS , 使用5353埠，組播位址 224.0.0.251。在一個沒有常規DNS伺服器的小型網路內，可以使用mDNS來實現類似DNS的程式設計介面、包格式和操作語義。MDNS協定的報文與DNS的報文結構相同，但有些欄位對於MDNS來說有新的含義。   每個進入局域網的主機，如果開啟了mDNS服務的話，都會向局域網內的所有主機組播一個消息，我是誰，和我的IP地址是多少。然後其他也有該服務的主機就會回應，也會告訴你，它是誰，它的IP位址是多少。mDNS的功能變數名稱與普通DNS的功能變數名稱是通過尾碼.local區分開來的。如果一台終端需要訪問一個mDNS功能變數名稱，他就會向局域網內發送組播，詢問該功能變數名稱的IP是多少。   例如：   一個設備接入網路，首先查詢名稱是否衝突，並通告當前伺服器資訊   衝突檢測結束後，發送MDNS通告，通知其它設備更新DNS緩存   其它設備對該功能變數名稱訪問時，會發起MDNS查詢
NBNS	NetBIOS是一個網絡協議，在上世紀80年代早期由IBM和Sytec聯合開發，用於所謂的PC-Network。雖然公開發表的文檔很少，協議的API卻成為了事實上的標準。 隨着PC-Network被令牌環和以太網取代，NetBIOS也應該退出歷史舞台。但是，由於很多軟件使用了NetBIOS的API，所以NetBIOS被適配到了各種其他的協議上，比如IPX/SPX和TCP/IP。 使用令牌環和以太網傳輸的NetBIOS被稱為NetBEUI。在Microsoft Windows 98發佈之前，一直廣泛使用。在TCP/IP上運行的NetBIOS稱為NBT，由RFC 1001和RFC 1002定義。NBT的基本思想是在基於IP的網絡上模擬基於NetBIOS的PC-Network。NBT在Windows 2000中引入，是首選的NetBIOS傳輸。
DCP-PFT*	PROFINET是一個開放式的工業乙太網通訊協定，是由PROFIBUS & PROFINET國際協會所提出。PROFINET應用TCP/IP及資訊科技的相關標準，是實時的工業乙太網。自2003年起，PROFINET是IEC 61158及IEC 61784標準中的一部分。   PROFINET有模組化的結構，使用者可以依其需求選擇層疊的機能。各機能的差異是在於為了滿足高速通訊的需求，而對應資料交換種類的不同。   PROFINET可分為PROFINET CBA及PROFINET IO二種：PROFINET CBA適合經由TCP/IP，以元件為基礎的通訊，PROFINET IO 則使用在需要實時通訊的系統。PROFINET CBA和PROFINET IO可以在一個網路中同時出現。   PROFINET IO是為分散式週邊的實時（RT）及等時實時（IRT）通訊所設計。其名稱RT及IRT只是在說明配合PROFINET IO通訊時的實時特性。
SSL	SSL的全文是 「Secure Sockets Layer」，SSL就是網址https:// 的「s」，代表網站資訊很安全，有加密、有認證，SSL的發明者是Netscape網景公司的科學家 Taher Elgamal，SSL這個安全憑證主要用於網站的安全傳輸協定，在Web廣泛的被應用，Taher Elgamal被人稱為「SSL之父」。