第一:查域内存活多少主机,WK的统计然后会话然后按IPV4 address A排列。
第二:查哪台主机的系统是UBANTU
这个一般是利用用户访问网页时HTTP请求包里的user agent信息,这里一般会泄露信息。所以过滤条件写http.request就是找到所有http请求的包,和IP协议里包含这个系统名的,然后筛选出来追踪流就行。
第三:查看某一个IP是什么类型的主机
eq是等于的意思,这里查找172.16.3.188的信息,这个还是去找他访问网页时的http请求里的useragent信息去看,所以追踪流。
第四:,可以用第二的方法去尝试,但是如果失效的话,可以采用查DNS域名的方法也即是
,如果查DNS域名还是搞不清楚,进一步的根据具体相关的特性来查找,如图。
,再不行的话我们找到具体的IP的包,看看他的MAC地址。
再有一种方法是找到亚马逊平板的专用浏览器,silk来找。
第五:
第六:
调整栏目的话,pacekyditous面板里的信息可以右键,设置成列增加。删除的话,我无师自通了。
第七:
第八:
就是局域网通信的一套API,可以根据其找到主机名和MAC地址。
就是找http的post请求比较好,然后注意一些关键字犹如sign up。
第八之分析用户电脑是否可能感染病毒
找到奇怪流量后追踪流,将其请求拼接起来用搜素引擎搜索查看相关信息,找到这是一个恶意软件的情报。
那么再找,可以发现有访问到.top的域名,这个域名就像纹身,一般没有好人。
snort就是帮助分析攻击的一个软件,他的日志里面会给出提示,有时候根据IP检索不行,因为攻击方很可能换IP,但是攻击的端口应该是不会变的就可以检索端口。
第九:
.255是广播地址,不算
然后就是根据NBNS开过滤查找主机名
不过仔细分析可以看到第二条是对第一条的响应,响应分两种,主动和被动响应。包里有TTL(time to live)就是主动响应,记得一个就好了。
主动响应意味着下面的IP的主机名就是上面那个。
然后再找这种NBNS的回复再确定到一个
如上图的操作搞下来就像这样就可以知道IP地址对应主机名。
然后按上图又找到一些。
找IP对应主机名的方法依上面方法的汇总:
直接过滤NBNS、然后通过命令过滤出广播包又是一个,IP地址 and smb一个,IP地址 and dhcp/dns也可以
接着走流程
用以上的网站获得数据包里的账密之后,对单个的主机发生的情况进行编辑,这里WK有个导出特定分组的方法很好。
看一个IP发生情况的方法汇总:
我们可以依上图把各个主机IP的包分别拿出来,接下来要看主机发生的情况,可以先看http的流量,再不然是https的流量。如果都没什么收获可以依据下图行事。
第十: