linux抓包出现nbns,如何用抓包分析工具定位感染主机和用户
如今网络威胁日增,当主机被确认感染病毒或遭受某种恶意攻击时,网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢?利用抓包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据,便是一种好方法。
一般来说,企业网络中主机生成的任何流量均应包含三个标识符:一个MAC地址、一个IP地址和一个主机名。而多数情况下,安全技术人员都是基于IP地址来识别可疑活动并发出预警,这意味着内部IP地址也可能会带来威胁。如果能够查看完整的网络流量数据包捕获,你就会发现,该内部IP地址生成的网络流量包会显示关联的MAC地址和主机名。
对于抓包分析工具来说,具体选择哪款呢?来自Palo Alto Networks威胁情报团队Unit 42的研究人员表示,可以从较为常用的工具Wireshark入手。
那么,如何借助Wireshark技术来获取主机信息?可以从如下方面展开:
来自DHCP流量的主机信息
通常基于两类活动来过滤主机信息:DHCP或NBNS。DHCP流量数据包有助于识别连接网络的几乎所有类型计算机的主机;NBNS流量主要由微软Windows系统计算机或运行MacOS系统的苹果主机生成。
点此获取本教程的第一个pcap数据包host-and-user-ID-pcap-01.pcap。以IPv4流量pcap为例,这个pcap数据包捕获来源于内部IP地址172.16.1[.]207。在Wireshark中打开pcap数据包,并设置过滤条件bootp,如图1所示。该过滤器就会显示DHCP流量。
注意:如果使用3.0版Wireshark,检索词应为"dhcp"而不是"bootp"。
图1:使用Wireshark实现DHCP过滤
选中信息栏中显示为DHCP Request的数据帧。查看数据帧详细信息,并展开Bootstrap 协议(请求)行,如图2所示。展开显示客户端标识符和主机名行,如图3所示。客户端标识符细节应显示分配给172.16.1[.]207的MAC地址,主机名细节应显示主机名信息。
图2:响应DHCP请求,展开显示Bootstrap协议行
图3:在DHCP请求信息中查找MAC地址和主机名
如图3显示,这种情况下,172.16.1[.]207的主机名为Rogers-iPad,MAC地址为7c:6d:62:d2:e3:4f,且该MAC地址分配给了一台苹果设备。根据要主机名,使用设备可能是一台iPad,但仅仅依靠主机名还无法完全确认。
如图4所示,我们可以直接使用172.16.1[.]207将任意数据帧的MAC地址和IP地址进行关联。
图4:将任意数据帧的MAC地址与IP地址进行关联
来自NBNS流量的主机信息
受DHCP租期更新频率的影响,你的pcap数据包中可能没有捕获到DHCP流量。幸运的是,可以使用NBNS流量来识别Windows系统计算机或MacOS系统苹果主机。
本教程介绍的第二个pcap数据包捕获host-and-user-ID-pcap-02.pcap,可点此获取。该数据包捕获来源于内部IP地址为10.2.4[.]101的Windows系统主机。使用Wireshark打开pcap,并配置过滤条件nbns,就会显示NBNS流量。然后选择第一个数据帧,你就可以快速将IP地址与MAC地址和主机名进行关联,如图5所示。
图5:借助NBNS流量将主机名与IP和MAC地址进行关联
数据帧详细信息显示了分配给某一个IP地址的主机名,如图6所示。
图6:NBNS流量中包含的数据帧详细信息显示了分配至某一个IP地址的主机名
【不难看出,从网络流量中正确识别主机和用户,对于及时发现网络中存在的恶意行为至关重要。而利用Wireshark来快速识别出受影响的主机和用户,相当方便。】调查区域:企业小调查(点击预览可查看效果)
本文属于原创文章,如若转载,请注明来源:如何用抓包分析工具定位感染主机和用户//safe.zol.com.cn/713/7133447.html
//safe.zol.com.cn/713/7133447.html
safe.zol.com.cn
true
中关村在线
//safe.zol.com.cn/713/7133447.html
report
2788
如今网络威胁日增,当主机被确认感染病毒或遭受某种恶意攻击时,网络运维人员或安全团队如何快速识别出受感染的主机与用户情况呢?利用抓包分析工具来审查企业内主机发送的可疑网络流量包捕获(pcap)数据,便是一种好方法。 一般来说,企业网络中主机生成的任何流...
linux抓包出现nbns,如何用抓包分析工具定位感染主机和用户相关推荐
- 局域网网络流量监控_【干货】Linux网络安全运维:网络流量监控与分析工具Ntop和Ntopng...
本文授权转载自微信公众号:计算机与网络安全,转载请联系授权.对于单台服务器网络故障的排查,iftop工具可以轻松实现,但是在监控一个庞大的服务器网络,并且要分析每台主机以及端口的网络状态时,iftop ...
- Linux系统中五款好用的日志分析工具
监控网络活动是一项繁琐的工作,但有充分的理由这样做.例如,它允许你查找和调查工作站和连接到网络的设备及服务器上的可疑登录,同时确定管理员滥用了什么.你还可以跟踪软件安装和数据传输,以实时识别潜在问题, ...
- 性能之巅:Linux网络性能分析工具-netstat,ifconfig,nicstat,traceroute,tcpdump
原文地址:http://www.infoq.com/cn/articles/linux-networking-performance-analytics 本文介绍基于Linux操作系统的网络性能分析工 ...
- 性能之巅:Linux网络性能分析工具
编者按:InfoQ开设新栏目"品味书香",精选技术书籍的精彩章节,以及分享看完书留下的思考和收获,欢迎大家关注.本文节选自格雷格著<性能之巅:洞悉系统.企业与云计算>中 ...
- linux ssh抓包,如何在SSH连接Linux系统的环境下使用wireshark抓包?
TSINGSEE青犀视频云边端架构EasyNVR.EasyDSS.EasyGBS等都是有两种操作系统的版本,一种是linux,一种是windows.而大多数开发者用户都会使用linux版本进行安装. ...
- Linux基础急速入门:用 TCPDUMP 抓包
简介 tcpdump是一个用于截取网络分组,并输出分组内容的工具.凭借强大的功能和灵活的截取策略,使其成为类UNIX系统下用于网络分析和问题排查的首选工具 tcpdump 支持针对网络层.协议.主机. ...
- linux过滤某个mac的包,macOS 下使用 tcpdump 抓包
tcpdump 是 Unix/Linux 下的抓包工具,在 macOS 上也有实现.这个命令可以针对指定网卡.端口.协议进行抓包,这里记录下使用方法. 一.获取适配器列表 使用 -D 或 --list ...
- Linux (centos) 安装anyproxy https手机设备抓包笔记
Linux (centos) 安装anyproxy https手机设备抓包笔记 安装nodejs curl -sL https://rpm.nodesource.com/setup_14.x | b ...
- linux下tcpdump抓包保存cap文件,使用Wireshark分析
1.tcpdump是对网络上的数据包进行截获的包分析工具: 2.安装:yum install tcpdump(yum安装即可),安装完成之后创建一个文件夹,专门存放抓取数据保存的文件,执行tcpdum ...
- 如何用抓包工具把电脑病毒揪出来
下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源. 你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常 ...
最新文章
- 美团某程序员爆料:绩效背c的都要签pip!网友:pip就是变相劝退!
- 架构思维-高业务复杂度系统建设思路
- 多协议标签的MPLS发布与管理_MPLS
- Java社区目前的现状——交易
- iphone全部机型_iPhone 12 销量或创 iPhone 6 以来最高|iphone|郭明錤
- 团队管理心得--建团队,管事理人
- 使用原生js实现图片放大器效果
- python opencv将图片转为灰度图
- Unreal蓝图入门 节点
- 微信小程序注册/登陆页面及后台接口开发实战(一)
- 2:STM32CubeMX配置STM32F103C8T6驱动-SPI驱动
- 大数据信息资料采集:刘润公众号历史商业评论文章采集评论搜集
- Android软件开发环境搭建
- Python urlparse总结
- Plugin: Memory Dump by aeon update 12.10
- DBA-Linux命令
- 嵌入式系统原理及应用课后习题答案
- 仿生的git学习网站
- java redis 发送短信验证码
- linux xshell 传文件,xshell linux传文件
热门文章
- CSF 格式文件播放器 下载地址
- 南天PR2、PR2E驱动下载,xp,win7,win8,win8.1,win10 32位64位驱动下载安装教程
- 笔记本电脑桌面计算机图标不见了怎么办,桌面图标不见了怎么办,教您电脑桌面图标不见了怎么办...
- warning: Pulling without specifying how to reconcile divergent branches is discouraged. You can sque
- 关于动作捕捉动画一些记录
- EditPlus中文绿色破解版安装
- 算法分析与设计——分治法实验报告
- 天煌计算机组成原理控制软件,天煌THTJZ-2型计算机组成原理课程设计.doc
- 【转载】Android 中东阿拉伯语适配,看这一篇够了。
- sql语句大全+实例讲解