| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> Wireshark教程:识别主机和用户 -> 正文阅读 |
|
[网络协议]Wireshark教程:识别主机和用户 |
当主机受到感染或受到其他危害时,我们需要快速检查可疑网络流量的数据包(pcap),以识别受影响的主机和用户。 目录 来自DHCP流量的主机信息在网络中生成流量的任何主机都应该有三个标识符:MAC地址、IP地址和主机名。 在大多数情况下,可疑活动的流量警报是基于 IP 地址的。如果你可以查看网络流量中的完整数据包,则可以在内部 IP 地址上对检索到的恶意流量找到相关联的 MAC 地址和主机名。 我们如何使用Wireshark找到此类主机的信息?我们可以过滤两种类型的活动:DHCP或NBNS。DHCP流量可以帮助我们识别连接到网络的几乎任何类型的计算机的主机。NBNS流量主要由运行Windows的主机或运行MacOS的Apple主机生成。 下面这个pcap是172.16.1[.]207的内部IP地址。在Wireshark中打开pcap并在筛选过滤器中输入dhcp过滤出DHCP流量。 选择在信息列中DHCP请求(request)的其中一行。展开Dynamic Host Configuration Protocol (Request)这一行,客户端详细信息会显示分配给172.16.1[.]207的MAC地址,展开Host Name这一行会显示主机名详细信息。 在此pcap中,172.16.1[.]207的主机名是Rogers iPad,MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已经分配给Apple。根据主机名,此设备可能是iPad,但我们不能仅根据主机名进行确认。 我们可以很容易地将任何包中的MAC地址和IP地址与172.16.1[.]207关联起来。如下图中源MAC地址和目的MAC地址,以及源IP和目的IP。 来自NBNS流量的主机信息根据DHCP租约续订的频率,您在pcap中可能没有DHCP流量。幸运的是,我们可以使用NBNS流量来识别运行Windows的主机或运行MacOS的Apple主机的主机名。 下面这个pcap来自Windows主机,使用10.2.4[.]101的内部IP地址。在Wireshark中打开pcap并在显示过滤器中输入nbns,这将过滤NBNS流量。选择第一个包,您可以快速将IP地址与MAC地址和主机名关联起来。 ?来自HTTP流量中的设备型号和操作系统来自HTTP流量中User-Agent(用户代理)字符串可以显示操作系统。如果HTTP流量来自Android设备,您还可以确定设备的制造商和型号。 下面这个pcap来自Windows主机,其内部IP地址为192.168.1[.]97。通过Wireshark打开pcap并在显示过滤器中进行过滤http.request and !(ssdp)。选择第二个包,这是对www.ucla[.]edu的第一个HTTP请求,然后右击选择追踪流-tcp流。 此TCP流具有HTTP请求头,User-Agent行表示运行在 Windows 7 x64操作系统上的Google Chrome web浏览器版本72.0.3626[.]81。 请注意上图中User-Agent行中的以下字符串: (Windows NT 6.1; Win64; x64) Windows NT 6.1代表Windows 7。对于User-Agent行,Windows NT字符串代表Windows的以下版本,如下所示:
使用来自Windows主机的基于HTTP的web流量,您可以确定操作系统和浏览器。来自Android设备的相同类型流量可以显示设备的品牌名称和型号。 下面这个pcap来自内部IP地址172.16.4[.]119的Android主机。在Wireshark中打开此pcap并在显示过滤器中输入http.request上进行过滤。选择第二个包,是对www.google[.]com请求blank.html的HTTP流量,然后右击选择追踪流-tcp流。 上图中的User-Agent行显示的是Android 7.1.2,它是2017年4月发布的较旧版本的Android操作系统。LM-X210APM代表此Android设备的型号。谷歌搜索引擎显示,这款手机是LG Phoenix 4安卓智能手机。 来自iPhone或其他Apple移动设备的HTTP流量的User-Agent行将为您提供操作系统,并为您提供设备类型。然而,它不会给你提供型号。我们只能确定苹果设备是iPhone、iPad还是iPod。我们无法确定型号。 下面这个pcap来自iPhone主机,其内部IP地址为10.0.0[.]114。通过Wireshark中打开pcap并在显示过滤器中输入http.request进行过滤。选择对web.mta[.]info请求的第一个HTTP包,然后右击选择追踪流-tcp流。 在上图中,User-Agent行显示(iPhone;CPU iPhone OS 12_1_3,like Mac OS X)。这表明苹果设备是iPhone,运行的是iOS 12.1.3。 关于HTTP流量和User-Agent字符串的最后一点注意:并非所有的HTTP活动都是web端的流量。某些HTTP请求不会显示浏览器或操作系统。当您通过搜索流量以识别主机时,可能需要尝试几个不同的HTTP请求才能查找web端的流量。 由于现在越来越多的网站使用HTTPS,这种主机识别方法可能会很困难。HTTP标头和内容在HTTPS通信中不可见。然而,对于那些在调查HTTPS流量期间幸运地发现HTTP web端流量的人来说,这种方法可以提供有关主机的更多信息。 来自Kerberos流量中的Windows用户对于Active Directory(AD)环境中的Windows主机,我们可以从Kerberos流量中找到用户帐户名。 下面这个pcap来自以下AD环境中的Windows主机:
在Wireshark中打开此pcap并在显示过滤器中输入kerberos.CNameString上进行过滤。选择第一个包。转到framedetails部分并展开行,选择kerberos——as-req——req-body——cname——cname-string行中带有CNameString:johnson-pc$的行并将其作为列应用。 这将创建一个名为CNameString的新列。向下滚动到列显示中的最后一行。您应该会找到?theresa.johnson的用户名。还有172.16.8[.]8处的域控制器和172.16.8[.]201处的Windows客户端之间的流量。 主机名的CNameString值总是以$(美元符号)结尾,而用户帐户名则不是。要筛选用户帐户名,请使用以下Wireshark过滤表达式过滤出不带美元符号的CNameString值: ?kerberos.CNameString and !(kerberos.CNameString contains $) 注:转发请私聊me哦 ? ? |
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 | -2024/11/25 20:43:14- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |