Ak pracujete s analýzou sietí, určite viete, že zachytiť API requesty alebo VoIP hovory bez presných filtrov je ako hľadať ihlu v kope sena. V tomto návode si ukážeme, ako si vo Wiresharku nastaviť pokročilé filtre – od REST/API komunikácie až po SIP/RTP toky – a ako identifikovať pokusy o MITM útoky, nekorektné retransmisie či výpadky kvality hovoru.
API komunikácia často prebieha nad HTTP(S). Vo Wiresharku použijeme filtráciu na základe TCP portov a HTTP protokolu:
tcp.port == 80 or tcp.port == 443
– zachytí všetky HTTP(S) pakety.http.request.method == "POST"
– zobrazí len POST API volania (napr. JSON payload).http.host contains "api.example.com"
– filtruje podľa konkrétneho API endpointu.Príklad: ak chcete sledovať len JSON odpovede, použijete:
http.content_type contains "application/json"
Tým vyfiltrované pakety môžete exportovať a analyzovať payload, HTTP hlavičky a status kódy.
VoIP komunikácia prechádza cez SIP (signaling) a RTP (media). Povieme si, ako ich presne sledovať:
sip
Tým zachytíte registráciu, INVITE, BYE a všetky SIP hlášky. Pre detailnejší pohľad použite:
sip.Method == "INVITE"
Takto uvidíte len začiatky hovorov.
rtp
Wireshark váš RTP tok automaticky dekóduje a dokáže zobraziť jitter, lost packets či delay v grafoch.
sip || rtp.port == 5004
Ak poznáte port, ktorým prebieha RTP, môžete filtrovať súčasne signaling aj media tok.
200 OK
neobsahuje očakávané Via
headery – môžu chýbať alebo byť upravené.From:
a Contact:
hlavičkách = možné presmerovanie cez tretí server.Proxy-Require
alebo User-Agent
hlášky – indíkátor MITM proxy či call-center manipulácie.Na dôkladnejšiu analýzu je dobré použiť coloring rules a hľadať nezrovnalosti v hlavičkách.
GET /v1/users HTTP/1.1
Host: api.example.com
Accept: application/json
Authorization: Bearer xyz...
INVITE sip:bob@company.com SIP/2.0
Via: SIP/2.0/UDP 10.0.0.1:5060;branch=z9hG4bK...
From: "Alice"
To:
Call-ID: ...
CSeq: 1 INVITE
Prejdite do Telephony → RTP → Show All Streams, zvoľte tok a kliknite na Graph. Vidíme jitter a packet loss. To pomáha určiť kvalitu hovoru.
Wireshark SRTP nedekóduje bez kľúča, ale môžete odfiltrovať signaling (+ port) a sledovať handshake.
Filter napr.: udp.port == 5060
alebo srtp
.
Nie – ale môžete analyzovať TCP handshake & SNI cez filter TLS:
tls.handshake.extensions_server_name == "api.example.com"
Áno – zachytávajte handshake cez TCP a HTTPS, hľadajte REST endpointy cez filter http.request.uri contains "/api/"
.
Filtrovanie API a VoIP paketov vo Wiresharku výrazne urýchli a zefektívni vašu sieťovú analýzu. Pomocou presných filtrov, coloring rules a RTP grafov odhalíte nielen chyby v komunikácii, ale aj pokusy o MITM útok. Ak chcete posunúť svoje schopnosti ďalej, odporúčam kurz Analýza TCP/IP sietí cez Wireshark (Baby Hacking), kde si všetko vyskúšate na reálnych lab scénároch.
Viac informacií preberáme na kurze: