如今网络威胁日增，当主机被确认感染病毒或遭受某种恶意攻击时，网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢？利用抓包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据，便是一种好方法。

一般来说，企业网络中主机生成的任何流量均应包含三个标识符：一个MAC地址、一个IP地址和一个主机名。而多数情况下，安全技术人员都是基于IP地址来识别可疑活动并发出预警，这意味着内部IP地址也可能会带来威胁。如果能够查看完整的网络流量数据包捕获，你就会发现，该内部IP地址生成的网络流量包会显示关联的MAC地址和主机名。

对于抓包分析工具来说，具体选择哪款呢？来自Palo Alto Networks威胁情报团队Unit 42的研究人员表示，可以从较为常用的工具Wireshark入手。

那么，如何借助Wireshark技术来获取主机信息？可以从如下方面展开：

来自DHCP流量的主机信息

通常基于两类活动来过滤主机信息：DHCP或NBNS。DHCP流量数据包有助于识别连接网络的几乎所有类型计算机的主机；NBNS流量主要由微软Windows系统计算机或运行MacOS系统的苹果主机生成。

点此获取本教程的第一个pcap数据包host-and-user-ID-pcap-01.pcap。以IPv4流量pcap为例，这个pcap数据包捕获来源于内部IP地址172.16.1[.]207。在Wireshark中打开pcap数据包，并设置过滤条件bootp，如图1所示。该过滤器就会显示DHCP流量。

注意：如果使用3.0版Wireshark，检索词应为"dhcp"而不是"bootp"。

图1：使用Wireshark实现DHCP过滤

选中信息栏中显示为DHCP Request的数据帧。查看数据帧详细信息，并展开Bootstrap 协议(请求)行，如图2所示。展开显示客户端标识符和主机名行，如图3所示。客户端标识符细节应显示分配给172.16.1[.]207的MAC地址，主机名细节应显示主机名信息。

图2：响应DHCP请求，展开显示Bootstrap协议行

图3：在DHCP请求信息中查找MAC地址和主机名

如图3显示，这种情况下，172.16.1[.]207的主机名为Rogers-iPad，MAC地址为7c：6d：62：d2：e3：4f，且该MAC地址分配给了一台苹果设备。根据要主机名，使用设备可能是一台iPad，但仅仅依靠主机名还无法完全确认。

如图4所示，我们可以直接使用172.16.1[.]207将任意数据帧的MAC地址和IP地址进行关联。

图4：将任意数据帧的MAC地址与IP地址进行关联

来自NBNS流量的主机信息

受DHCP租期更新频率的影响，你的pcap数据包中可能没有捕获到DHCP流量。幸运的是，可以使用NBNS流量来识别Windows系统计算机或MacOS系统苹果主机。

本教程介绍的第二个pcap数据包捕获host-and-user-ID-pcap-02.pcap，可点此获取。该数据包捕获来源于内部IP地址为10.2.4[.]101的Windows系统主机。使用Wireshark打开pcap，并配置过滤条件nbns，就会显示NBNS流量。然后选择第一个数据帧，你就可以快速将IP地址与MAC地址和主机名进行关联，如图5所示。

图5：借助NBNS流量将主机名与IP和MAC地址进行关联

数据帧详细信息显示了分配给某一个IP地址的主机名，如图6所示。

图6：NBNS流量中包含的数据帧详细信息显示了分配至某一个IP地址的主机名

【不难看出，从网络流量中正确识别主机和用户，对于及时发现网络中存在的恶意行为至关重要。而利用Wireshark来快速识别出受影响的主机和用户，相当方便。】调查区域：企业小调查(点击预览可查看效果)

本文属于原创文章，如若转载，请注明来源：如何用抓包分析工具定位感染主机和用户//safe.zol.com.cn/713/7133447.html

//safe.zol.com.cn/713/7133447.html

safe.zol.com.cn

true

中关村在线

//safe.zol.com.cn/713/7133447.html

report

2788

如今网络威胁日增，当主机被确认感染病毒或遭受某种恶意攻击时，网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢？利用抓包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据，便是一种好方法。　　一般来说，企业网络中主机生成的任何流...