Wireshark教程:识别流量包中的主机和用户

admin 2022年12月8日18:31:36评论112 views字数 1657阅读5分31秒阅读模式

Wireshark教程:识别流量包中的主机和用户


当企业网内的主机受到感染或以其他方式受到威胁时,网络管理人员需要快速查看可疑网络流量的数据包捕获,以识别受影响的主机和用户。


本文提供了从网络流量包中,快速定位出受到感染的主机和用户信息。主要从以下三方面流量进行分析。


  • 来自 DHCP 流量的主机信息

  • 来自服务NETBIOS(NBNS) 流量的主机信息

  • 来自 HTTP 流量的设备型号和操作系统

DHCP流量中的主机信息,在网络中生成流量的任何主机基本具有三个标识符:MAC 地址、IP 地址和主机名。在大多数情况下,可疑活动的警报基于 IP 地址。如果您有权访问网络流量的完整数据包捕获,则可在捕获的流量包中通过协议过滤得到IP关联的 MAC 地址和主机名。那如何找到这样的主机信息?DHCP流量可以帮助识别连接到网络的几乎任何类型的主机。


在 Wireshark 中打开流量包,并通过dhcp协议进行过滤,即可得到所有DHCP流量记录。


Wireshark教程:识别流量包中的主机和用户

在结果中选择 DHCP 流量的其中一帧。转到帧详细信息部分,展开“Client Identifier”和“Host Name”的行,如图上图所示:Client Identifier显示192.168.5.145的MAC 地址,Host Name显示主机名。此例中的受感染客户端的MAC地址是00:0c:29:4c:7c:b7,主机名是Win7。


NBNS流量中根据 DHCP 租约续订的频率,决定能否获取到主机信息。在网络流量中可能没有DHCP流量。幸运的是,我们可以使用NBNS流量来识别运行Windows的计算机或运行MacOS的苹果主机的主机名。


Wireshark教程:识别流量包中的主机和用户

通过过滤nbns协议,可以快速定位出流量中受感染的主机名,如上图所示。


另外 HTTP 流量中请求头的字符串可以显示操作系统。如果 HTTP 流量来自移动设备,可以确定移动设备的制造商和型号。


Wireshark教程:识别流量包中的主机和用户

过滤流量包中的http请求,可以通过User-Agent字段判断出客户端的操作系统版本,主机IP为192.168.1.97的操作系统为windows7 X64,如上图所示。

Windows NT与windows操作系统对应关系如下:

Windows NT 5.1: Windows XP

Windows NT 6.0: Windows Vista

Windows NT 6.1: Windows 7

Windows NT 6.2: Windows 8

Windows NT 6.3: Windows 8.1

Windows NT 10.0: Windows 10


通过流量查看移动设备的型号和版本。


Wireshark教程:识别流量包中的主机和用户

同样过滤http请求,通过User-Agent字段可以判断出网络中移动设备的型号和版本,如上图所示:Android系统,版本为7.1.2,型号是LM-X210APM。通过互联网搜索可以得出手机品牌为LG。苹果设备的识别方法与安卓设备相同。


关于HTTP流量和用户代理字符串的最后一点说明:并非所有HTTP活动都是网页浏览流量。某些HTTP请求不会泄露浏览器或操作系统。当您搜索流量以识别主机时,您可能必须尝试几个不同的HTTP请求,然后才能找到Web浏览器流量。


综上所述,在报告网络中的恶意活动时,从网络流量中正确识别主机和用户至关重要。我们可以更好地利用Wireshark来帮助我们识别受影响的主机和用户。


安全为先,洞鉴未来,奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用,请联系奇安信各区域销售代表,或致电95015,期待您的来电!







“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队,由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先,洞鉴未来”为使命,以“安全攻防对抗思维”解决电子数据取证难题,以“数据驱动安全”为技术思想,以安全赋能取证,研发新一代电子数据取证产品,产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案,为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。





Wireshark教程:识别流量包中的主机和用户

原文始发于微信公众号(盘古石取证):Wireshark教程:识别流量包中的主机和用户

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月8日18:31:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Wireshark教程:识别流量包中的主机和用户https://cn-sec.com/archives/1450102.html

发表评论

匿名网友 填写信息