Wireshark教程:使用Wireshark寻找主机信息

最新推荐文章于 2024-05-30 22:11:07 发布
最新推荐文章于 2024-05-30 22:11:07 发布
阅读量1w 收藏 26
点赞数 10
分类专栏: Wireshark 文章标签: wireshark
原文链接:https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
版权

使用Wireshark寻找主机信息

网络中产生流量的任何主机都应具有三个标识符:MAC地址,IP地址和主机名。

我们如何使用Wireshark查找此类主机信息?我们对两种活动进行过滤:DHCP或NBNS。 DHCP流量可以帮助识别连接到网络的几乎所有类型的计算机的主机。 NBNS流量主要由运行Microsoft Windows的计算机或运行MacOS的Apple主机生成。

实验一 来自DHCP流量的主机信息

在这里插入图片描述
DHCP 流量对于大多数类型的网络连接可以帮助识别主机
DHCP Request >Bootstrap Protocol (Request)> Client Identifier and Host Name

通过这里 似乎是一个ipad,但是不能仅凭一个主机名确定

在这种情况下,172.16.1 [.] 207的主机名是Rogers-iPad,MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已分配给Apple。根据主机名,此设备可能是iPad,但我们无法仅通过主机名进行确认。

MAC address and IP address(找相关的)
在这里插入图片描述

实验二 来自NetBIOS名称服务(NBNS)流量的主机信息

NBNS traffic is generated primarily by computers running Microsoft Windows or Apple hosts running MacOS.

根据更新DHCP租约的频率,您的pcap中可能没有DHCP流量。幸运的是,我们可以使用NBNS流量来标识运行Microsoft Windows的计算机或运行MacOS的Apple主机的主机名。

NBNS(NetBIOS Name Server)是动态DNS的一种,Microsoft的NBNS实现称为WINS

在这里插入图片描述

该主机使用内部IP地址10.2.4.101。在Wireshark中打开pcap,然后在nbns上进行过滤。这应该显示NBNS流量。选择第一帧,您可以快速将IP地址与MAC地址和主机名相关联,如图所示。

从这里也可以看到一些细节
在这里插入图片描述

实验三 来自HTTP流量的设备模型和操作系统

来自HTTP通信头的用户代理字符串可以显示操作系统。如果HTTP流量来自Android设备,那么还可以确定设备的制造商和型号。

过滤: http.request and !(ssdp)

此pcap来自Windows主机,使用内部IP地址192.168.1 .97。在Wireshark中打开pcap,然后对http.request and !(ssdp)进行过滤。选择第二个帧,这是对www.ucla . edu的第一个HTTP请求,并跟踪TCP流,如图所示。
在这里插入图片描述

在这里插入图片描述

该TCP流具有HTTP请求标头,如图所示。User-Agent行表示在Microsoft Windows 7 x64操作系统上运行的Google Chrome浏览器Web版本72.0.3626. 81。

Note the following string in the User-Agent line from Figure 8:

(Windows NT 6.1; Win64; x64)

  • NT字符串表示以下版本的Microsoft Windows
- Windows NT 5.1: Windows XP
- Windows NT 6.0: Windows Vista
- Windows NT 6.1: Windows 7
- Windows NT 6.2: Windows 8
- Windows NT 6.3: Windows 8.1
- Windows NT 10.0: Windows 10

实验四 DHCP流量中的主机信息

使用来自Windows主机的基于HTTP的web浏览流量,可以确定操作系统和浏览器。来自Android设备的相同类型的流量可以揭示设备的品牌和型号。

此pcap来自使用内部IP地址172.16.4.119的Android主机。在Wireshark中打开pcap,然后对http.request进行过滤。选择第二个框架,这是对/blank.html的www.google.com的HTTP请求。跟踪TCP流。
在这里插入图片描述
User-Agent行显示了Android 7.1.2,它是2017年4月发布的Android操作系统的较旧版本。LM-X210APM表示此Android设备的型号。 Google进行了快速搜索,发现该型号是LG Phoenix 4 Android智能手机。

来自iPhone或其他苹果移动设备的HTTP流量的用户代理行将为您提供操作系统,并提供设备类型。我们只能确定苹果的设备是iPhone、iPad还是iPod

此pcap来自使用内部IP地址为10.0.0.114的iPhone主机。在Wireshark中打开pcap,然后对http.request进行过滤。选择对web.mta.info的第一个HTTP请求的帧,并遵循TCP流
在这里插入图片描述

(iPhone; CPU iPhone OS 12_1_3 like Mac OS X

关于HTTP流量和用户代理字符串的最后一点说明:并非所有HTTP活动都是web浏览流量。某些HTTP请求不会显示浏览器或操作系统。当您在流量中搜索以识别主机时,在查找web浏览器流量之前,可能需要尝试几个不同的HTTP请求。
由于越来越多的网站使用HTTPS,这种主机识别方法可能很困难。HTTP头和内容在HTTPS通信中不可见。然而,对于那些有幸在调查期间发现HTTP web浏览流量的人来说,这种方法可以提供更多关于主机的信息。

实验五 Windows用户帐户来自Kerberos流量

对于Active Directory(AD)环境中的Windows主机,我们可以从Kerberos通信中找到用户帐户名。

Domain: happycraft[.]org
Network segment: 172.16.8.0/24 (172.16.8[.]0 - 172.16.8[.]255)
Domain controller IP: 172.16.8[.]8
Domain controller hostname: Happycraft-DC
Segment gateway: 172.16.8[.]1
Broadcast address: 172.16.8[.]255
Windows client: 172.16.8[.]201

kerberos.CNameString

在Wireshark中打开pcap,并在kerberos.CNameString上进行过滤。选择第一帧。转到frame details部分,然后展开行,如图13所示。选择带有CNameString的行:johnson-pc $并将其作为一列应用。
在这里插入图片描述
这将创建一个名为CNameString的新列。向下滚动到列显示中的最后一帧。您应该在域控制器172.16.8 [.] 8和Windows客户端172.16.8 [.] 201之间的通信中找到Theresa.johnson的用户帐户名,如图所示。

在这里插入图片描述
主机名的CNameString值总是以$(美元符号)结尾,而用户帐户名则不是。要根据用户帐户名进行筛选,请使用以下Wireshark表达式消除带有美元符号的CNameString结果:

kerberos.CNameString and !(kerberos.CNameString contains $)
在这里插入图片描述

进一寸有一寸的欢喜077
关注
  • 10
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Wireshark教程:识别主机和用户
nuan444979的博客
09-27 2967
Wireshark教程:如何识别主机和用户
IP协议及数据包之Wireshark分析
m0_55017965的博客
04-12 2309
首部长度:IP 的首部长度,可表示的最大十进制数值是 15。当 IP 分组的首部长度不是 4 字节的整数倍时,必须利用最后的填充字段加以填充。在点分四组表示法中,以 A、B、C、D 的形式构成 IP 地址的四组 1 和 0。IMCP协议在IP协议的下一层,在数据包大小低于1500下用ICMP协议发送,大于1500则用IPV4/6发送,会分片。在同一个局域网的计算机发送给同一个服务器的数据包的TTL是不变的,因为它们经过的路由器数量不变。源 IP 地址:发出数据报的主机的 IP 地址
Wireshark 如何查找包含特定数据的数据帧
最新发布
西西弗的博客
05-30 359
Wireshark 如何查找包含特定数据的数据帧
恶意流量分析训练二
Yale的博客
02-04 1993
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup.com 域控:172.16.3.2-EggNogSoup-DC 网关:172.16.3.1 广播地址:172.16....
Wireshark软件可用于抓取主机发送和接收的数据包
weixin_42600407的博客
02-14 454
是的,Wireshark是一个强大的网络分析软件,它可以抓取主机发送和接收的数据包并对其进行详细的分析和可视化。使用Wireshark可以帮助用户了解网络上的流量情况,分析网络故障,诊断网络问题,以及监测网络安全状况。 ...
wireshark linux版本_微课 | 版本信息主机
weixin_39732316的博客
11-29 176
本次微课将学习如何获得内核版本、发行版本和主机名等信息,包括视频+文字,大约需要你14分钟。另外,文末还有一则IT冷笑话,学习之余、会心一笑:)uname - print system information语法:uname [OPTION]...选项:-a, --all 显示所有信息-s, --kernel-name 显示内核名称-n, --node...
计算机网络系列:在虚拟机上使用wireshark进行抓包
热门推荐
u010800530的专栏
12-08 3万+
第一步,肯定是先下载wireshark这个软件到本机上边。下载之后,我们把这个软件的安装包放在C盘,并为C盘设置共享,把这个安装包放在虚拟机上边。 介绍一下怎么设置在本机上设置共享: 比如,我们对E盘设置共享: 1、右键“E盘”,然后选择“共享”: 2、然后一步步地设置,设置之后,我们需要设置这两个选项: 设置完了之后我们就已经共享了,接下来就是打开虚拟机。 第二部,把
wireshark系列(四)-根据Host、Port等过滤并导出
ITdoggg的博客
07-08 624
文章目录场景过滤并导出根据会话域名过滤 场景 有时候抓的数据包太大,电脑打开、过滤、搜索都很慢,所以可以根据需要导出需要的数据包,然后单独分析 过滤并导出 根据会话域名过滤 会弹出对话框 在这里找到访问某域名的IP,然后在过滤栏过滤该IP,真正需要看的数据包就很少了; 再导出 命名然后导出 通过过滤和导出,可做多次过滤,这样能够精准查看需要分析的数据包,提升效率。 ...
WireShark虚拟机数据包捕获
qq_43776408的博客
06-28 8523
选中指定网卡进行流量嗅探 使用netdiscover软件进行配合 //////////////////////////////// 先获取你的kaili虚拟机的ip比如192.156.4.5 探测与你虚拟机处于同一网段下(即当前局域网)的主机 即192.156.4.1一直寻找到192.156.4.254 探测过程其实就是发送ARP请求 你可以通过WireShark抓包看出来 最终扫描结果 发现了三机器 ...
利用Wireshark对本地回环数据包及宿主机、虚拟机数据包进行抓取
weixin_43046297的博客
05-17 8770
最近实验室布置了一个作业:首先编写通信程序,后利用wireshark对我编写的通信程序中传递的数据包进行抓取并进行解析。 一、本地回环数据包的抓取 首先是通信程序的编写,编写了基于socket的通信程序,为了简便讲解,以下我选取了一个非常简单的socket通信程序: import socket import sys HOST='' PORT=6666 s=socket.socket(soc...
Wireshark抓取应用客户端通信域名及IP
最难不过坚持,与你共同进步
08-10 4397
注:此次抓取以Steam平为例,其它应用方法相同。
【嵌入式系统基础第12-15周作业】---wireshark抓取网络数据包
weixin_52166467的博客
12-26 621
【嵌入式系统基础第12-15周作业】---wireshark抓取网络数据包
wireshark数据包内容查找功能详解
qq_40298645的博客
03-22 804
选择Unicode字符集的编码方式,其中【窄】指的UTF-8编码方式,也就是一个字符编码占1-4个字节(所以兼容ASCII编码),【宽】指的UTF-16编码方式,一个字符占2或4个字节。一般来说,对于文本类型传输来说,UTF-8使用的更为普遍。【分组详情】区域查找指的是在下方左侧的数据包具体内容区域查找;【分组字节流】区域查找则是最下方右侧的字节流区域查找。如下图,【分组列表】区域查找指的是在最上方的。选择查找内容的编码类型(UTF-8、UTF-16编码)选择查找目标区域(也就是在哪里去匹配。
wireshark统计工具
刘松华-林散
05-15 1060
转自:http://openmaniak.com/cn/wireshark_stat.php Wireshark提供了大量不同的统计工具供您使用和参考。您可以通过点击屏幕顶部的"statistics"标签找到它们。 我们将会在下面举例说明: 综合 协议层 会话 节点 输入输出图 会话列表 节点列表 服务响应时间     R
主机(Active\Active)配置详细手册(附祥图)
weixin_34126557的博客
11-15 586
双机热备通常情况下是Active\Standby方式,即主备方式,当主机产生故障后,备机及时接管主机的服务;然而这种方式备机一直处于备用状态,在一定程度上造成了很大的浪费,所以在多种应用的情况下,让备机也充当主机的角色,承担一部分应用,这就是我们通常所说的Active\Active方式,即双主机的方式. 双主机的方式有着很大的优势,假设有多个应用原先被配置在一...
wireshark-协议分析【初见】(NBNS协议,SSDP协议、IGMPv2)
bin789456的博客
02-06 6943
(均使用的vmware虚拟机平)该系列并不会太关注wireshark的用法,重点关注协议交换时数据包的情况。需要注意的是,一开始工作时,选好需要捕获流量的网卡。默认情况下会捕获所有网卡(带混杂模式)的流量,数据包会非常多简单介绍一下混杂模式,混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。
Wireshark学习思路-3
weixin_48421613的博客
06-29 497
上篇文章为大家介绍了如何拦截浏览器中的https流量以及http流量简单的分析方法,今天在这里为大家分享一下web攻击的具体流量特征以及一些其他协议的特征 DHCP的主机信息 网络中产生流量的任何主机都应该包含三个特征:MAC地址、IP地址主机名。在大多数情况下,可疑行为的警报是基于IP地址的,如果你能获取到完整的网络流量,检索其中的内部IP地址,应该能显示出相关的MAC地址主机名。 那么我们如何使用Wireshark找出这样主机信息呢?我们可以过滤DHCP流量,DHCP流量和可以帮助我们识别连接到.
使用wireshark工具获得直连设备的IP地址
weixin_34167819的博客
07-12 6650
2019独角兽企业重金招聘Python工程师标准>>> ...
linux抓包出现nbns,如何用抓包分析工具定位感染主机和用户
weixin_32129195的博客
05-21 1337
如今网络威胁日增,当主机被确认感染病毒或遭受某种恶意攻击时,网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢?利用抓包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据,便是一种好方法。一般来说,企业网络中主机生成的任何流量均应包含三个标识符:一个MAC地址、一个IP地址和一个主机名。而多数情况下,安全技术人员都是基于IP地址来识别可疑活动并发出预警,这意味着内部IP地址...
wireshark lab: tcp v7.0
06-28
### 回答1: Wireshark Lab: TCP v7.0 是一套用于学习和理解 TCP 协议的实验材料。通过这套实验材料,可以学习 TCP 建立连接的三次握手过程、数据传输过程中的流量控制和拥塞控制、TCP 连接终止的四次挥手过程等内容。同时,也可以通过实验了解 Wireshark 工具的使用方法,Wireshark 是一款流行的网络协议分析工具,可以用于捕获和分析网络数据包。 Wireshark Lab: TCP v7.0 包含一系列的实验,每个实验都配有详细的指导说明和实验要求,可以帮助用户逐步掌握 TCP 协议和 Wireshark 工具的使用。这套实验材料适合计算机网络和信息安全领域的学生、从业者以及对网络协议感兴趣的人士学习使用。 ### 回答2: 在Wireshark实验室TCP V7.0中,我们继续研究TCP协议。TCP(传输控制协议)是一种在计算机网络中使用的基于连接的协议,常用于互联网协议(IP)套接字。 本实验室中,我们观察了TCP流的详细数据包分析。我们学习了TCP协议中的流控制和拥塞控制机制,以及TCP如何应对网络丢包和重传数据的情况。 在该实验室中,我们使用了基于Linux的虚拟机来模拟一个TCP协议的请求响应场景。我们模拟了从客户端发送HTTP请求,到服务器返回响应的流程。我们使用Wireshark这个强大的网络协议分析工具来捕获和解析网络数据包,以观察网络流量和分析网络传输。 在观察TCP协议的过程中,我们发现TCP是一个可靠但是较慢的协议。当网络出现问题时,它会花费很多时间来重传数据,从而保证数据完整性。我们也学习了TCP的拥塞控制机制。当网络拥塞时,TCP会自适应地调整传输速率,以避免网络出现更多的拥塞。 总之,Wireshark实验室TCP V7.0是一个非常有用的实验室,它向我们展示了TCP协议的更多细节和机制,使我们深入了解TCP如何在网络中工作。随着更多的网络应用程序在今后的发展中涌现出来,我们相信TCP协议还将继续发挥重要作用。 ### 回答3: Wireshark是一个开源的网络协议分析工具,可以用于抓取网络数据包,并对这些数据包进行分析和解码。Wireshark可以分析不同类型的协议,包括TCP、UDP、HTTP等。 本次实验主要是让我们使用Wireshark工具来分析TCP协议的数据包,了解TCP如何建立连接,传输数据以及释放连接等过程。我们使用的是一个HTTP文件下载的例子来说明TCP的工作过程。 在实验中,我们通过Wireshark进行数据包抓取和分析,可以看到TCP协议在传输数据时,会通过三次握手建立连接,并且在传输数据过程中进行数据校验和序列号的确认。TCP协议还具有可靠性,即数据包在传输中如果丢失或者出错,TCP会进行重传和数据校验,确保数据的完整性和正确性。同时,在TCP传输完成后,还会进行四次挥手来释放连接。 通过实验,我们进一步了解了TCP协议的工作原理以及在网络通信中的应用,这对我们深入学习和应用网络技术具有相当的帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值