Wireshark教程:使用Wireshark寻找主机信息 |
您所在的位置:网站首页 › 主机是 › Wireshark教程:使用Wireshark寻找主机信息 |
Wireshark教程:使用Wireshark寻找主机信息
|
使用Wireshark寻找主机信息
网络中产生流量的任何主机都应具有三个标识符:MAC地址,IP地址和主机名。 我们如何使用Wireshark查找此类主机信息?我们对两种活动进行过滤:DHCP或NBNS。 DHCP流量可以帮助识别连接到网络的几乎所有类型的计算机的主机。 NBNS流量主要由运行Microsoft Windows的计算机或运行MacOS的Apple主机生成。 实验一 来自DHCP流量的主机信息
通过这里 似乎是一个ipad,但是不能仅凭一个主机名确定 在这种情况下,172.16.1 [.] 207的主机名是Rogers-iPad,MAC地址是7c:6d:62:d2:e3:4f。此MAC地址已分配给Apple。根据主机名,此设备可能是iPad,但我们无法仅通过主机名进行确认。 MAC address and IP address(找相关的) NBNS traffic is generated primarily by computers running Microsoft Windows or Apple hosts running MacOS. 根据更新DHCP租约的频率,您的pcap中可能没有DHCP流量。幸运的是,我们可以使用NBNS流量来标识运行Microsoft Windows的计算机或运行MacOS的Apple主机的主机名。 NBNS(NetBIOS Name Server)是动态DNS的一种,Microsoft的NBNS实现称为WINS
该主机使用内部IP地址10.2.4.101。在Wireshark中打开pcap,然后在nbns上进行过滤。这应该显示NBNS流量。选择第一帧,您可以快速将IP地址与MAC地址和主机名相关联,如图所示。 从这里也可以看到一些细节 来自HTTP通信头的用户代理字符串可以显示操作系统。如果HTTP流量来自Android设备,那么还可以确定设备的制造商和型号。 过滤: http.request and !(ssdp) 此pcap来自Windows主机,使用内部IP地址192.168.1 .97。在Wireshark中打开pcap,然后对http.request and !(ssdp)进行过滤。选择第二个帧,这是对www.ucla . edu的第一个HTTP请求,并跟踪TCP流,如图所示。
该TCP流具有HTTP请求标头,如图所示。User-Agent行表示在Microsoft Windows 7 x64操作系统上运行的Google Chrome浏览器Web版本72.0.3626. 81。 Note the following string in the User-Agent line from Figure 8: (Windows NT 6.1; Win64; x64) NT字符串表示以下版本的Microsoft Windows - Windows NT 5.1: Windows XP - Windows NT 6.0: Windows Vista - Windows NT 6.1: Windows 7 - Windows NT 6.2: Windows 8 - Windows NT 6.3: Windows 8.1 - Windows NT 10.0: Windows 10 实验四 DHCP流量中的主机信息使用来自Windows主机的基于HTTP的web浏览流量,可以确定操作系统和浏览器。来自Android设备的相同类型的流量可以揭示设备的品牌和型号。 此pcap来自使用内部IP地址172.16.4.119的Android主机。在Wireshark中打开pcap,然后对http.request进行过滤。选择第二个框架,这是对/blank.html的www.google.com的HTTP请求。跟踪TCP流。 来自iPhone或其他苹果移动设备的HTTP流量的用户代理行将为您提供操作系统,并提供设备类型。我们只能确定苹果的设备是iPhone、iPad还是iPod 此pcap来自使用内部IP地址为10.0.0.114的iPhone主机。在Wireshark中打开pcap,然后对http.request进行过滤。选择对web.mta.info的第一个HTTP请求的帧,并遵循TCP流 (iPhone; CPU iPhone OS 12_1_3 like Mac OS X 关于HTTP流量和用户代理字符串的最后一点说明:并非所有HTTP活动都是web浏览流量。某些HTTP请求不会显示浏览器或操作系统。当您在流量中搜索以识别主机时,在查找web浏览器流量之前,可能需要尝试几个不同的HTTP请求。 由于越来越多的网站使用HTTPS,这种主机识别方法可能很困难。HTTP头和内容在HTTPS通信中不可见。然而,对于那些有幸在调查期间发现HTTP web浏览流量的人来说,这种方法可以提供更多关于主机的信息。 实验五 Windows用户帐户来自Kerberos流量对于Active Directory(AD)环境中的Windows主机,我们可以从Kerberos通信中找到用户帐户名。 Domain: happycraft[.]org Network segment: 172.16.8.0/24 (172.16.8[.]0 - 172.16.8[.]255) Domain controller IP: 172.16.8[.]8 Domain controller hostname: Happycraft-DC Segment gateway: 172.16.8[.]1 Broadcast address: 172.16.8[.]255 Windows client: 172.16.8[.]201kerberos.CNameString 在Wireshark中打开pcap,并在kerberos.CNameString上进行过滤。选择第一帧。转到frame details部分,然后展开行,如图13所示。选择带有CNameString的行:johnson-pc $并将其作为一列应用。
kerberos.CNameString and !(kerberos.CNameString contains $) |
DHCP 流量对于大多数类型的网络连接可以帮助识别主机 DHCP Request >Bootstrap Protocol (Request)> Client Identifier and Host Name
User-Agent行显示了Android 7.1.2,它是2017年4月发布的Android操作系统的较旧版本。LM-X210APM表示此Android设备的型号。 Google进行了快速搜索,发现该型号是LG Phoenix 4 Android智能手机。
这将创建一个名为CNameString的新列。向下滚动到列显示中的最后一帧。您应该在域控制器172.16.8 [.] 8和Windows客户端172.16.8 [.] 201之间的通信中找到Theresa.johnson的用户帐户名,如图所示。
主机名的CNameString值总是以$(美元符号)结尾,而用户帐户名则不是。要根据用户帐户名进行筛选,请使用以下Wireshark表达式消除带有美元符号的CNameString结果:
【本文地址】