admin管理员组文章数量:1567022
当主机受到感染或受到其他危害时,我们需要快速检查可疑网络流量的数据包(pcap),以识别受影响的主机和用户。
目录
来自DHCP流量的主机信息
来自NBNS流量的主机信息
来自HTTP流量中的设备型号和操作系统
来自Kerberos流量中的Windows用户
来自DHCP流量的主机信息
在网络中生成流量的任何主机都应该有三个标识符:MAC地址、IP地址和主机名。
在大多数情况下,可疑活动的流量警报是基于 IP 地址的。如果你可以查看网络流量中的完整数据包,则可以在内部 IP 地址上对检索到的恶意流量找到相关联的 MAC 地址和主机名。
我们如何使用Wireshark找到此类主机的信息?我们可以过滤两种类型的活动:DHCP或NBNS。DHCP流量可以帮助我们识别连接到网络的几乎任何类型的计算机的主机。NBNS流量主要由运行Windows的主机或运行MacOS的Apple主机生成。
下面这个pcap是172.16.1[.]207的内部IP地址。在Wireshark中打开pcap并在筛选过滤器中输入dhcp过滤出DHCP流量。
选择在信息列中DHCP请求(request)的其中一行。展开Dynamic Host Configuration Protocol (Request)这一行,客户端详细信息会显示分配给172.16.1[.]207的MAC地址,展开Host Name这一行会显示主机名详细信息。
在此pcap中,172.16.1[.]207的主机名是Rogers iPad,MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已经分配给Apple。根据主机名,此设备可能是iPad,但我们不能仅根据主机名进行确认。
我们可以很容易地将任何包中的MAC地址和IP地址与172.16.1[.]207关联起来。如下图中源MAC地址和目的MAC地址,以及源IP和目的IP。
来自NBNS流量的主机信息
根据DHCP租约续订的频率,
版权声明:本文标题:Wireshark教程:识别主机和用户 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1727572847a1121412.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论