动态主机配置协议 (DHCP) 流量的主机信息
网络中生成流量的任何主机都具有三个标识符,那就是:mac地址,ip地址和主机名
一般流量可以直接看到mac和ip
输入dhcp过滤dhcp流量
mac,hostname与ip位置如图所示
关于mac地址:
默认情况下,Wireshark 尝试将 MAC 地址的前 3 个字节解析为供应商标识。
图中我们发现mac地址以apple_开头,hostname以mac结尾由此我们可以推测出该流量是由apple mac book pro发出,同时用户可以匿名化mac地址所以以上推测不一定正确
来自 NetBIOS 名称服务 (NBNS) 流量的主机信息
应为dhcp的一些问题,可能找不到该类型的数据流,如果没有,那么可以试试nbns去识别windows或macos流量的hostname
我盟在这里也能直观地看到hostname(macos)
(windows)
来自http流量的设备型号与操作系统
过滤未加密的http流量
http.accept_language
追踪tcp流
根据use-agent:可以得知此用户用的是edge浏览器 ,版本110.0.1587.69
windows NT 10.0表示系统为win10或win11
Windows NT 版本 | Windows 操作系统版本 |
Windows NT 5.1 | Windows XP |
Windows NT 6.0 | Windows Vista |
Windows NT 6.1 | Windows 7 |
Windows NT 6.2 | Windows 8 |
Windows NT 6.3 | Windows 8.1 |
Windows NT 10.0 | Windows 10 or Windows 11 |
Chrome、Edge 和 Firefox 等 Web 浏览器的开发人员已在 Windows NT 10.0 的 User-Agent 行中冻结了 Windows 版本号所以nt10.0对应win10与win11,从2023开始google chrome浏览器将在user-agent的任何版本中显示为nt 10.0
Apple 的 macOS 也发生了这种情况,以在 HTTP 请求标头中将 macOS 报告为 Catalina(版本 10.15.7)。
Google Chrome或基于Chromium的Web浏览器(如Microsoft Edge)生成的用户代理行包括Safari和AppleWebKit的字符串
如图
我们可以发现(Linux; Android 13; Pixel 4a (5G))这是一个 手机流量,在现版本的Chrome中将报告为(Linux; Android 10; K)
若手机为苹果系统,则如图所示 用户使用的是 Apple 的 Safari 移动网络浏览器
识别 Active Directory (AD) 环境中的用户
最重要的信息可能是确定与受感染主机关联的用户。对于 AD 环境中的 Windows 客户端,我们可以根据 Kerberos 流量中的用户帐户名确定用户。
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。
打开一个来自以下 AD 环境中的 Windows 主机的数据流
- 域名:www.pcapworkshop.网
- 网段:172.16.1.0/24 (172.16.1.0 - 172.16.1.255)
- 域控制器 IP:172.16.1[.]16
- 域控制器主机名:PCAPWORKSHOP-DC
- 分段网关:172.16.1.1
- 广播地址:172.16.1.255
- Windows 客户端:172.16.1.141
启用了 IPv4 和 IPv6 的环境,但 Kerberos 流量仅为 IPv4
过滤
kerberos.CNameString 找到CNameString
CNameString代表windows的host name和user account name
除了 Kerberos 流量之外,我们还可能在轻量级目录访问协议 (LDAP) 流量中找到用户的名字和姓氏或其他标识符。
ldap contains "CN=Users"
默认 Windows 主机名
Windows 10 和 Windows 11 计算机的默认主机名是一个 15 个字符的字符串,以 DESKTOP- 开头,以 7 个随机字母数字字符结尾。
这将在 IP 层或更高级别的任何流量中查找明文 ASCII 字符串 DESKTOP-。
键入
ip contains"DESKTOP-"
也可以直接搜desktop-
