當主機被確認為感染病毒或遭受某種惡意攻擊時(shí),作為安全從業(yè)人員,我們需要快速審查企業(yè)內主機發(fā)送的可疑網(wǎng)絡(luò )流量包捕獲(pcap)數據,以識別受感染主機和用戶(hù)情況。
為此,本文將向各位讀者介紹:如何使用Wireshark這一應用廣泛的網(wǎng)絡(luò )協(xié)議分析工具來(lái)采集pcap數據。我們將認定您已經(jīng)完全掌握網(wǎng)絡(luò )流量基本要素,并以IPv4 <https://en.wikipedia.org/wiki/IPv4>流量pcap為例,論述以下幾個(gè)方面:
- 來(lái)自DHCP流量的主機信息
- 來(lái)自NBNS流量的主機信息
- 來(lái)自HTTP流量的設備型號及操作系統
- 來(lái)自Kerberos流量的Windows用戶(hù)賬戶(hù)信息
來(lái)自DHCP流量的主機信息
企業(yè)網(wǎng)絡(luò )中主機生成的任何流量均應包含三個(gè)標識符:一個(gè)MAC地址、一個(gè)IP地址和一個(gè)主機名。
多數情況下,安全技術(shù)人員都是基于IP地址來(lái)識別可疑活動(dòng)并發(fā)出預警,這意味著(zhù)內部IP地址也可能會(huì )帶來(lái)威脅。如果能夠查看完整的網(wǎng)絡(luò )流量數據包捕獲,你就會(huì )發(fā)現,該內部IP地址生成的網(wǎng)絡(luò )流量包會(huì )顯示關(guān)聯(lián)的MAC地址和主機名。
那么,如何借助Wireshark技術(shù)來(lái)獲取主機信息呢?
通常我們基于兩類(lèi)活動(dòng)來(lái)過(guò)濾主機信息:DHCP或NBNS。DHCP流量數據包有助于識別連接網(wǎng)絡(luò )的幾乎所有類(lèi)型計算機的主機;NBNS流量主要由微軟Windows系統計算機或運行MacOS系統的蘋(píng)果主機生成。
點(diǎn)此: https://www.malware-traffic-analysis.net/training/host-and-user-ID.html獲取本教程的第一個(gè)pcap數據包host-and-user-ID-pcap-01.pcap。這個(gè)pcap數據包捕獲來(lái)源于內部IP地址172.16.1[.]207。在Wireshark中打開(kāi)pcap數據包,并設置過(guò)濾條件bootp,如圖1所示。該過(guò)濾器就會(huì )顯示DHCP流量。
注意:如果使用3.0版Wireshark,檢索詞應為“dhcp”而不是“bootp”。
圖1:使用Wireshark實(shí)現DHCP過(guò)濾
選中信息欄中顯示為DHCP Request的數據幀。查看數據幀詳細信息,并展開(kāi)Bootstrap 協(xié)議(請求)行,如圖2所示。展開(kāi)顯示客戶(hù)端標識符和主機名行,如圖3所示。客戶(hù)端標識符細節應顯示分配給172.16.1[.]207的MAC地址,主機名細節應顯示主機名信息。
圖2:響應DHCP請求,展開(kāi)顯示Bootstrap協(xié)議行
圖3:在DHCP請求信息中查找MAC地址和主機名
如圖3顯示,這種情況下,172.16.1[.]207的主機名為Rogers-iPad,MAC地址為7c:6d:62:d2:e3:4f,且該MAC地址分配給了一臺蘋(píng)果設備。根據要主機名,使用設備可能是一臺iPad,但僅僅依靠主機名還無(wú)法完全確認。
如圖4所示,我們可以直接使用172.16.1[.]207將任意數據幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。
如圖4所示,我們可以直接使用172.16.1[.]207將任意數據幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。
圖4:將任意數據幀的MAC地址與IP地址進(jìn)行關(guān)聯(lián)
來(lái)自NBNS流量的主機信息
受DHCP租期更新頻率的影響,你的pcap數據包中可能沒(méi)有捕獲到DHCP流量。幸運的是,我們可以使用NBNS流量來(lái)識別Windows系統計算機或MacOS系統蘋(píng)果主機。
本教程介紹的第二個(gè)pcap數據包捕獲host-and-user-ID-pcap-02.pcap,可點(diǎn)此 <https://www.malware-traffic-analysis.net/training/host-and-user-ID.html>獲取。該數據包捕獲來(lái)源于內部IP地址為10.2.4[.]101的Windows系統主機。使用Wireshark打開(kāi)pcap,并配置過(guò)濾條件nbns,就會(huì )顯示NBNS流量。然后選擇第一個(gè)數據幀,你就可以快速將IP地址與MAC地址和主機名進(jìn)行關(guān)聯(lián),如圖5所示。
圖5:借助NBNS流量將主機名與IP和MAC地址進(jìn)行關(guān)聯(lián)
數據幀詳細信息顯示了分配給某一個(gè)IP地址的主機名,如圖6所示。
圖6:NBNS流量中包含的數據幀詳細信息顯示了分配至某一個(gè)IP地址的主機名
總結:
關(guān)于來(lái)自HTTP流量的設備型號及操作系統,以及Kerberos流量的Windows用戶(hù)賬戶(hù)信息的兩部分內容,您可以點(diǎn)擊以下鏈接地址繼續閱讀:
https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
從網(wǎng)絡(luò )流量中正確識別主機和用戶(hù),對于及時(shí)發(fā)現網(wǎng)絡(luò )中存在的惡意行為至關(guān)重要。使用本教程中的方法,我們可以更好地利用Wireshark來(lái)識別出受影響的主機和用戶(hù)。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò ))
作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò ))一直以不斷挑戰網(wǎng)絡(luò )安全現狀而著(zhù)稱(chēng)。我們的使命就是通過(guò)有效防御網(wǎng)絡(luò )攻擊來(lái)保護數字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬(wàn)家企業(yè)以及他們的客戶(hù)保駕護航。我們的獨具開(kāi)創(chuàng )性的Security Operating Platform,通過(guò)持續創(chuàng )新為客戶(hù)的數字化轉型戰略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò ))掌握安全、自動(dòng)化以及數據分析領(lǐng)域的最新技術(shù)突破。通過(guò)提供最真實(shí)的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統的不斷成長(cháng),并以此為基礎為業(yè)界提供卓有成效且獨具創(chuàng )新性的跨云端、網(wǎng)絡(luò )和移動(dòng)設備的網(wǎng)絡(luò )安全解決方案。
