IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> Wireshark教程:识别主机和用户 -> 正文阅读

[网络协议]Wireshark教程:识别主机和用户

当主机受到感染或受到其他危害时,我们需要快速检查可疑网络流量的数据包(pcap),以识别受影响的主机和用户。

目录

来自DHCP流量的主机信息

来自NBNS流量的主机信息

?来自HTTP流量中的设备型号和操作系统

来自Kerberos流量中的Windows用户


来自DHCP流量的主机信息

在网络中生成流量的任何主机都应该有三个标识符:MAC地址、IP地址和主机名。

在大多数情况下,可疑活动的流量警报是基于 IP 地址的。如果你可以查看网络流量中的完整数据包,则可以在内部 IP 地址上对检索到的恶意流量找到相关联的 MAC 地址和主机名。

我们如何使用Wireshark找到此类主机的信息?我们可以过滤两种类型的活动:DHCP或NBNS。DHCP流量可以帮助我们识别连接到网络的几乎任何类型的计算机的主机。NBNS流量主要由运行Windows的主机或运行MacOS的Apple主机生成。

下面这个pcap是172.16.1[.]207的内部IP地址。在Wireshark中打开pcap并在筛选过滤器中输入dhcp过滤出DHCP流量。

选择在信息列中DHCP请求(request)的其中一行。展开Dynamic Host Configuration Protocol (Request)这一行,客户端详细信息会显示分配给172.16.1[.]207的MAC地址,展开Host Name这一行会显示主机名详细信息。

在此pcap中,172.16.1[.]207的主机名是Rogers iPad,MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已经分配给Apple。根据主机名,此设备可能是iPad,但我们不能仅根据主机名进行确认。

我们可以很容易地将任何包中的MAC地址和IP地址与172.16.1[.]207关联起来。如下图中源MAC地址和目的MAC地址,以及源IP和目的IP。

来自NBNS流量的主机信息

根据DHCP租约续订的频率,您在pcap中可能没有DHCP流量。幸运的是,我们可以使用NBNS流量来识别运行Windows的主机或运行MacOS的Apple主机的主机名。

下面这个pcap来自Windows主机,使用10.2.4[.]101的内部IP地址。在Wireshark中打开pcap并在显示过滤器中输入nbns,这将过滤NBNS流量。选择第一个包,您可以快速将IP地址与MAC地址和主机名关联起来。

?来自HTTP流量中的设备型号和操作系统

来自HTTP流量中User-Agent(用户代理)字符串可以显示操作系统。如果HTTP流量来自Android设备,您还可以确定设备的制造商和型号。

下面这个pcap来自Windows主机,其内部IP地址为192.168.1[.]97。通过Wireshark打开pcap并在显示过滤器中进行过滤http.request and !(ssdp)。选择第二个包,这是对www.ucla[.]edu的第一个HTTP请求,然后右击选择追踪流-tcp流。

此TCP流具有HTTP请求头,User-Agent行表示运行在 Windows 7 x64操作系统上的Google Chrome web浏览器版本72.0.3626[.]81。

请注意上图中User-Agent行中的以下字符串:

(Windows NT 6.1; Win64; x64)

Windows NT 6.1代表Windows 7。对于User-Agent行,Windows NT字符串代表Windows的以下版本,如下所示:

  • Windows NT 5.1: Windows XP
  • Windows NT 6.0: Windows Vista
  • Windows NT 6.1: Windows 7
  • Windows NT 6.2: Windows 8
  • Windows NT 6.3: Windows 8.1
  • Windows NT 10.0: Windows 10

使用来自Windows主机的基于HTTP的web流量,您可以确定操作系统和浏览器。来自Android设备的相同类型流量可以显示设备的品牌名称和型号。

下面这个pcap来自内部IP地址172.16.4[.]119的Android主机。在Wireshark中打开此pcap并在显示过滤器中输入http.request上进行过滤。选择第二个包,是对www.google[.]com请求blank.html的HTTP流量,然后右击选择追踪流-tcp流。

上图中的User-Agent行显示的是Android 7.1.2,它是2017年4月发布的较旧版本的Android操作系统。LM-X210APM代表此Android设备的型号。谷歌搜索引擎显示,这款手机是LG Phoenix 4安卓智能手机。

来自iPhone或其他Apple移动设备的HTTP流量的User-Agent行将为您提供操作系统,并为您提供设备类型。然而,它不会给你提供型号。我们只能确定苹果设备是iPhone、iPad还是iPod。我们无法确定型号。

下面这个pcap来自iPhone主机,其内部IP地址为10.0.0[.]114。通过Wireshark中打开pcap并在显示过滤器中输入http.request进行过滤。选择对web.mta[.]info请求的第一个HTTP包,然后右击选择追踪流-tcp流。

在上图中,User-Agent行显示(iPhone;CPU iPhone OS 12_1_3,like Mac OS X)。这表明苹果设备是iPhone,运行的是iOS 12.1.3。

关于HTTP流量和User-Agent字符串的最后一点注意并非所有的HTTP活动都是web端的流量。某些HTTP请求不会显示浏览器或操作系统。当您通过搜索流量以识别主机时,可能需要尝试几个不同的HTTP请求才能查找web端的流量。

由于现在越来越多的网站使用HTTPS,这种主机识别方法可能会很困难。HTTP标头和内容在HTTPS通信中不可见。然而,对于那些在调查HTTPS流量期间幸运地发现HTTP web端流量的人来说,这种方法可以提供有关主机的更多信息。

来自Kerberos流量中的Windows用户

对于Active Directory(AD)环境中的Windows主机,我们可以从Kerberos流量中找到用户帐户名。

下面这个pcap来自以下AD环境中的Windows主机:

  • 域名(Domain):happycraft[.]org
  • 网段(Network segment):172.16.8.0/24(172.16.8[.]0-172.16.8[0.]255)
  • 域控制器IP(Domain controller IP):172.16.8[.]8
  • 域控制器主机名(Domain controller hostname):Happycraft DC
  • 网段网关(Segment gateway):172.16.8[.]1
  • 广播地址(Broadcast address):172.16.8[.]255
  • Windows客户端(Windows client):172.16.8[.]201

在Wireshark中打开此pcap并在显示过滤器中输入kerberos.CNameString上进行过滤。选择第一个包。转到framedetails部分并展开行,选择kerberos——as-req——req-body——cname——cname-string行中带有CNameString:johnson-pc$的行并将其作为列应用。

这将创建一个名为CNameString的新列。向下滚动到列显示中的最后一行。您应该会找到?theresa.johnson的用户名。还有172.16.8[.]8处的域控制器和172.16.8[.]201处的Windows客户端之间的流量。

主机名的CNameString值总是以$(美元符号)结尾,而用户帐户名则不是。要筛选用户帐户名,请使用以下Wireshark过滤表达式过滤出不带美元符号的CNameString值:

?kerberos.CNameString and !(kerberos.CNameString contains $)

注:转发请私聊me哦

?

?

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-09-30 01:21:54  更:2022-09-30 01:22:07 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 20:43:14-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码