来自DHCP流量的主机信息

在网络中生成流量的任何主机都应该有三个标识符：MAC地址、IP地址和主机名。

在大多数情况下，可疑活动的流量警报是基于 IP 地址的。如果你可以查看网络流量中的完整数据包，则可以在内部 IP 地址上对检索到的恶意流量找到相关联的 MAC 地址和主机名。

我们如何使用Wireshark找到此类主机的信息？我们可以过滤两种类型的活动：DHCP或NBNS。DHCP流量可以帮助我们识别连接到网络的几乎任何类型的计算机的主机。NBNS流量主要由运行Windows的主机或运行MacOS的Apple主机生成。

下面这个pcap是172.16.1[.]207的内部IP地址。在Wireshark中打开pcap并在筛选过滤器中输入dhcp过滤出DHCP流量。

选择在信息列中DHCP请求（request）的其中一行。展开Dynamic Host Configuration Protocol (Request)这一行，客户端详细信息会显示分配给172.16.1[.]207的MAC地址，展开Host Name这一行会显示主机名详细信息。

在此pcap中，172.16.1[.]207的主机名是Rogers iPad，MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已经分配给Apple。根据主机名，此设备可能是iPad，但我们不能仅根据主机名进行确认。

我们可以很容易地将任何包中的MAC地址和IP地址与172.16.1[.]207关联起来。如下图中源MAC地址和目的MAC地址，以及源IP和目的IP。

来自NBNS流量的主机信息

根据DHCP租约续订的频率，您在pcap中可能没有DHCP流量。幸运的是，我们可以使用NBNS流量来识别运行Windows的主机或运行MacOS的Apple主机的主机名。

下面这个pcap来自Windows主机，使用10.2.4[.]101的内部IP地址。在Wireshark中打开pcap并在显示过滤器中输入nbns，这将过滤NBNS流量。选择第一个包，您可以快速将IP地址与MAC地址和主机名关联起来。

?来自HTTP流量中的设备型号和操作系统

来自HTTP流量中User-Agent（用户代理）字符串可以显示操作系统。如果HTTP流量来自Android设备，您还可以确定设备的制造商和型号。

下面这个pcap来自Windows主机，其内部IP地址为192.168.1[.]97。通过Wireshark打开pcap并在显示过滤器中进行过滤http.request and !(ssdp)。选择第二个包，这是对www.ucla[.]edu的第一个HTTP请求，然后右击选择追踪流-tcp流。

此TCP流具有HTTP请求头，User-Agent行表示运行在 Windows 7 x64操作系统上的Google Chrome web浏览器版本72.0.3626[.]81。

请注意上图中User-Agent行中的以下字符串：

(Windows NT 6.1; Win64; x64)

Windows NT 6.1代表Windows 7。对于User-Agent行，Windows NT字符串代表Windows的以下版本，如下所示：

Windows NT 5.1: Windows XP
Windows NT 6.0: Windows Vista
Windows NT 6.1: Windows 7
Windows NT 6.2: Windows 8
Windows NT 6.3: Windows 8.1
Windows NT 10.0: Windows 10

使用来自Windows主机的基于HTTP的web流量，您可以确定操作系统和浏览器。来自Android设备的相同类型流量可以显示设备的品牌名称和型号。

下面这个pcap来自内部IP地址172.16.4[.]119的Android主机。在Wireshark中打开此pcap并在显示过滤器中输入http.request上进行过滤。选择第二个包，是对www.google[.]com请求blank.html的HTTP流量，然后右击选择追踪流-tcp流。

上图中的User-Agent行显示的是Android 7.1.2，它是2017年4月发布的较旧版本的Android操作系统。LM-X210APM代表此Android设备的型号。谷歌搜索引擎显示，这款手机是LG Phoenix 4安卓智能手机。

来自iPhone或其他Apple移动设备的HTTP流量的User-Agent行将为您提供操作系统，并为您提供设备类型。然而，它不会给你提供型号。我们只能确定苹果设备是iPhone、iPad还是iPod。我们无法确定型号。

下面这个pcap来自iPhone主机，其内部IP地址为10.0.0[.]114。通过Wireshark中打开pcap并在显示过滤器中输入http.request进行过滤。选择对web.mta[.]info请求的第一个HTTP包，然后右击选择追踪流-tcp流。

在上图中，User-Agent行显示（iPhone；CPU iPhone OS 12_1_3，like Mac OS X）。这表明苹果设备是iPhone，运行的是iOS 12.1.3。

关于HTTP流量和User-Agent字符串的最后一点注意：并非所有的HTTP活动都是web端的流量。某些HTTP请求不会显示浏览器或操作系统。当您通过搜索流量以识别主机时，可能需要尝试几个不同的HTTP请求才能查找web端的流量。

由于现在越来越多的网站使用HTTPS，这种主机识别方法可能会很困难。HTTP标头和内容在HTTPS通信中不可见。然而，对于那些在调查HTTPS流量期间幸运地发现HTTP web端流量的人来说，这种方法可以提供有关主机的更多信息。

来自Kerberos流量中的Windows用户

对于Active Directory（AD）环境中的Windows主机，我们可以从Kerberos流量中找到用户帐户名。

下面这个pcap来自以下AD环境中的Windows主机：

域名（Domain）：happycraft[.]org
网段（Network segment）：172.16.8.0/24（172.16.8[.]0-172.16.8[0.]255）
域控制器IP（Domain controller IP）:172.16.8[.]8
域控制器主机名（Domain controller hostname）：Happycraft DC
网段网关（Segment gateway）：172.16.8[.]1
广播地址（Broadcast address）：172.16.8[.]255
Windows客户端（Windows client）：172.16.8[.]201

在Wireshark中打开此pcap并在显示过滤器中输入kerberos.CNameString上进行过滤。选择第一个包。转到framedetails部分并展开行，选择kerberos——as-req——req-body——cname——cname-string行中带有CNameString:johnson-pc$的行并将其作为列应用。