Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户

时间:2022-02-07 19:39:31


最新博文内容如下:

当主机被确认为风行症毒或遭受某种恶意打击时,作为安适从业人员,我们需要快速审查企业内主机发送的可疑网络流量包捕获(pcap)数据,以识别受传染主机和用户情况。

为此,本文将向列位读者介绍:如何使用Wireshark这一应用广泛的网络协议分析工具来收罗pcap数据。我们将认定您已经完全掌握网络流量根基要素,并以IPv4流量pcap为例,阐述以下几个方面:

•  来自DHCP流量的主机信息

•  来自NBNS流量的主机信息

•  来自HTTP流量的设备型号及操纵系统

•  来自Kerberos流量的Windows用户账户信息

 
来自DHCP流量的主机信息

企业网络中主机生成的任何流量均应包罗三个标识符:一个MAC地点、一个IP地点和一个主机名。

大都情况下,安适技术人员都是基于IP地点来识别可疑勾当并发出预警,这意味着内部IP地点也可能会带来威胁。如果能够检察完整的网络流量数据包捕获,你就会发明,该内部IP地点生成的网络流量包会显示关联的MAC地点和主机名。

那么,如何借助Wireshark技术来获取主机信息呢?

凡是我们基于两类勾当来过滤主机信息:DHCP或NBNS。DHCP流量数据包有助于识别连接网络的几乎所有类型计算机的主机;NBNS流量主要由微软Windows系统计算机或运行MacOS系统的苹果主机生成。

点此获取本教程的第一个pcap数据包host-and-user-ID-pcap-01.pcap。这个pcap数据包捕获来源于内部IP地点172.16.1[.]207。在Wireshark中打开pcap数据包,并设置过滤条件bootp,如图1所示。该过滤器就会显示DHCP流量。

注意:如果使用3.0版Wireshark,检索词应为“dhcp”而不是“bootp”。
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户

图1:使用Wireshark实现DHCP过滤
 

选中信息栏中显示为DHCP Request的数据帧。检察数据帧详细信息,并展开Bootstrap 协议(请求)行,如图2所示。展开显示客户端标识符和主机名行,如图3所示。客户端标识符细节应显示分配给172.16.1[.]207的MAC地点,主机名细节应显示主机名信息。
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户

图2:响应DHCP请求,展开显示Bootstrap协议行
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户


图3:在DHCP请求信息中查找MAC地点和主机名


如图3显示,这种情况下,172.16.1[.]207的主机名为Rogers-iPad,MAC地点为7c:6d:62:d2:e3:4f,且该MAC地点分配给了一台苹果设备。按照要主机名,使用设备可能是一台iPad,但仅仅依靠主机名还无法完全确认。

如图4所示,我们可以直接使用172.16.1[.]207将任意数据帧的MAC地点和IP地点进行关联。
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户



图4:将任意数据帧的MAC地点与IP地点进行关联
 

来自NBNS流量的主机信息
 

受DHCP租期更新频率的影响,你的pcap数据包中可能没有捕获到DHCP流量。幸运的是,我们可以使用NBNS流量来识别Windows系统计算机或MacOS系统苹果主机。
 

本教程介绍的第二个pcap数据包捕获host-and-user-ID-pcap-02.pcap,可点此获取。该数据包捕获来源于内部IP地点为10.2.4[.]101的Windows系统主机。使用Wireshark打开pcap,并配置过滤条件nbns,就会显示NBNS流量。然后选择第一个数据帧,你就可以快速将IP地点与MAC地点和主机名进行关联,如图5所示。
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户


图5:借助NBNS流量将主机名与IP和MAC地点进行关联
 

数据帧详细信息显示了分配给某一个IP地点的主机名,如图6所示。
 

Palo Alto Networks:操作Wireshark技术识别受传染的主机和用户


图6:NBNS流量中包罗的数据帧详细信息显示了分配至某一个IP地点的主机名
 

总结:

关于来自HTTP流量的设备型号及操纵系统,以及Kerberos流量的Windows用户账户信息的两部分内容,您可以点击以下链接地点继续阅读:
https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

从网络流量中正确识别主机和用户,对付及时发明网络中存在的恶意行为至关重要。使用本教程中的要领,我们可以更好地操作Wireshark来识别出受影响的主机和用户。