实验目的:回答以下的问题
除了位于 172.16.3.2 的域控制器之外,网络上还有多少台主机处于活动状态?
列出在调查上一个问题时找到的主机的 IP 地址。
哪个 IP 地址代表运行 Ubuntu 的主机?
什么类型的主机使用 IP 地址 172.6.3.188?
哪个 IP 地址最有可能是 Amazon Fire 平板电脑?
哪三个 IP 地址代表连接到 172.16.3.2 的域控制器的 Windows 主机?
三个 Windows 主机中的哪一个显示出感染 Emotet 和 IcedID 银行木马 (Bokbot) 的迹象?
哪个 IP 地址是运行 Android 8.0.0 的主机?
运行 Android 8.0.0 的手机的品牌和型号是什么?
172.16.3.112 上的设备品牌和类型是什么?
Q1:域中存在多少个主机
统计->conversations->ipv4->排序
根据域的ip为172.16.3.0/24罗列可得
172.16.3.189
172.16.3.188
172.16.3.133
172.16.3.122
172.16.3.114
172.16.3.112
172.16.3.111
172.16.3.110
172.16.3.109
172.16.3.2
Q2:哪个主机的操作系统是Ubuntu
知识点
访问网页时,用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。
所以筛选http的请求包,然后再过滤出Ubuntu关键字,所以payload为
http.request and ip contains Ubuntu
然后追踪tcp流
所以为172.16.3.110
Q3:ip地址为172.16.3.188的是什么类型的主机
首先过滤出它的ip地址
ip.addr eq 172.16.3.188
发现发起的dns请求是查询iCloud,这是一个苹果的域名
然后判断他是iPhone还是mac还是iPad
所以查看的它的user agent,在原本之后加上
and http.request
再追踪tcp流
所以这是一台iPhone 8
Q4:哪个ip地址最有可能是Amazon Fire tablet
这是一款亚马逊的平板
可以考虑找亚马逊的域名
dns.qry.name contains amazon
发现对应有三个ip:
172.16.3.122
172.16.3.111
172.16.3.109
我们知道亚马逊的网上采用了https
知识点
https是在hhtp的基础上加了一个ssl的握手
所以我们可以尝试过滤出ssl的握手包,查看握手包中有amazon的
ssl.handshake.type == 1 and ip contains amazon
所以只剩下两个了122和109
需要进一步过滤
所以查看Mac地址
MAC地址:也叫硬件地址,它是一个用来确认网络设备位置的位址
先看172.16.3.122的,可以看到这是苹果的设备
再看172.16.3.109的
所以这个是亚马逊的设备,所以答案就是172.16.3.109
第二种方法
我们知道ua也会有浏览器的特征,比如在firefox,Chrome等,Windows上是ie的特征,mac上市Safari的 通过搜索我们得知其特有浏览器是silk
ssl.handshake.type == 1 and ip contains silk
直接得到答案
Q5:哪些windows主机曾经连接到域控上?
先来理清楚概念:域建立后会有一个管理域成员的目录列表,称之为活动目录Active Directory(AD),而AD默认使用Kerberos处理认证请求。
所以我们考虑使用kerberos关键字进行过滤
kerberos.CNameString
从CNameString就可以看出是哪台windows连入了。
将这一行应用为列,就可以更加清楚的显示了。
所以连接到windows上的域控主机有:
172.16.3.144
172.16.3.133
172.16.3.189
Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?(172.16.3.114,172.16.3.133,172.16.3.189)
首先我们调出host列和server name列,有一张参考流量图,我们将上面的列调整的尽量相似
然后使用该命令进行过滤
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900) and ip.addr eq ip
172.16.3.114如下
原图是get再443的hello,而114是先get,再hello,再大批量的get,所以是不一样的
再看172.16.3.133
133是get/ hello/get/hello,跟木马迹象十分相似
189如下
完全不一样
综上所以为172.16.3.133
Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?
同样查询user agent
http.request and ip contains “8.0.0”
追踪tcp流
安卓手机 型号是moto e5 play 地址为172.16.3.111