當(dāng)主機(jī)被確認(rèn)為感染病毒或遭受某種惡意攻擊時,作為安全從業(yè)人員,我們需要快速審查企業(yè)內(nèi)主機(jī)發(fā)送的可疑網(wǎng)絡(luò)流量包捕獲(pcap)數(shù)據(jù),以識別受感染主機(jī)和用戶情況。
為此,本文將向各位讀者介紹:如何使用Wireshark這一應(yīng)用廣泛的網(wǎng)絡(luò)協(xié)議分析工具來采集pcap數(shù)據(jù)。我們將認(rèn)定您已經(jīng)完全掌握網(wǎng)絡(luò)流量基本要素,并以IPv4 <https://en.wikipedia.org/wiki/IPv4>流量pcap為例,論述以下幾個方面:
- 來自DHCP流量的主機(jī)信息
- 來自NBNS流量的主機(jī)信息
- 來自HTTP流量的設(shè)備型號及操作系統(tǒng)
- 來自Kerberos流量的Windows用戶賬戶信息
來自DHCP流量的主機(jī)信息
企業(yè)網(wǎng)絡(luò)中主機(jī)生成的任何流量均應(yīng)包含三個標(biāo)識符:一個MAC地址、一個IP地址和一個主機(jī)名。
多數(shù)情況下,安全技術(shù)人員都是基于IP地址來識別可疑活動并發(fā)出預(yù)警,這意味著內(nèi)部IP地址也可能會帶來威脅。如果能夠查看完整的網(wǎng)絡(luò)流量數(shù)據(jù)包捕獲,你就會發(fā)現(xiàn),該內(nèi)部IP地址生成的網(wǎng)絡(luò)流量包會顯示關(guān)聯(lián)的MAC地址和主機(jī)名。
那么,如何借助Wireshark技術(shù)來獲取主機(jī)信息呢?
通常我們基于兩類活動來過濾主機(jī)信息:DHCP或NBNS。DHCP流量數(shù)據(jù)包有助于識別連接網(wǎng)絡(luò)的幾乎所有類型計算機(jī)的主機(jī);NBNS流量主要由微軟Windows系統(tǒng)計算機(jī)或運行MacOS系統(tǒng)的蘋果主機(jī)生成。
點此: https://www.malware-traffic-analysis.net/training/host-and-user-ID.html獲取本教程的第一個pcap數(shù)據(jù)包host-and-user-ID-pcap-01.pcap。這個pcap數(shù)據(jù)包捕獲來源于內(nèi)部IP地址172.16.1[.]207。在Wireshark中打開pcap數(shù)據(jù)包,并設(shè)置過濾條件bootp,如圖1所示。該過濾器就會顯示DHCP流量。
注意:如果使用3.0版Wireshark,檢索詞應(yīng)為“dhcp”而不是“bootp”。
圖1:使用Wireshark實現(xiàn)DHCP過濾
選中信息欄中顯示為DHCP Request的數(shù)據(jù)幀。查看數(shù)據(jù)幀詳細(xì)信息,并展開Bootstrap 協(xié)議(請求)行,如圖2所示。展開顯示客戶端標(biāo)識符和主機(jī)名行,如圖3所示。客戶端標(biāo)識符細(xì)節(jié)應(yīng)顯示分配給172.16.1[.]207的MAC地址,主機(jī)名細(xì)節(jié)應(yīng)顯示主機(jī)名信息。
圖2:響應(yīng)DHCP請求,展開顯示Bootstrap協(xié)議行
圖3:在DHCP請求信息中查找MAC地址和主機(jī)名
如圖3顯示,這種情況下,172.16.1[.]207的主機(jī)名為Rogers-iPad,MAC地址為7c:6d:62:d2:e3:4f,且該MAC地址分配給了一臺蘋果設(shè)備。根據(jù)要主機(jī)名,使用設(shè)備可能是一臺iPad,但僅僅依靠主機(jī)名還無法完全確認(rèn)。
如圖4所示,我們可以直接使用172.16.1[.]207將任意數(shù)據(jù)幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。
如圖4所示,我們可以直接使用172.16.1[.]207將任意數(shù)據(jù)幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。
圖4:將任意數(shù)據(jù)幀的MAC地址與IP地址進(jìn)行關(guān)聯(lián)
來自NBNS流量的主機(jī)信息
受DHCP租期更新頻率的影響,你的pcap數(shù)據(jù)包中可能沒有捕獲到DHCP流量。幸運的是,我們可以使用NBNS流量來識別Windows系統(tǒng)計算機(jī)或MacOS系統(tǒng)蘋果主機(jī)。
本教程介紹的第二個pcap數(shù)據(jù)包捕獲host-and-user-ID-pcap-02.pcap,可點此 <https://www.malware-traffic-analysis.net/training/host-and-user-ID.html>獲取。該數(shù)據(jù)包捕獲來源于內(nèi)部IP地址為10.2.4[.]101的Windows系統(tǒng)主機(jī)。使用Wireshark打開pcap,并配置過濾條件nbns,就會顯示NBNS流量。然后選擇第一個數(shù)據(jù)幀,你就可以快速將IP地址與MAC地址和主機(jī)名進(jìn)行關(guān)聯(lián),如圖5所示。
圖5:借助NBNS流量將主機(jī)名與IP和MAC地址進(jìn)行關(guān)聯(lián)
數(shù)據(jù)幀詳細(xì)信息顯示了分配給某一個IP地址的主機(jī)名,如圖6所示。
圖6:NBNS流量中包含的數(shù)據(jù)幀詳細(xì)信息顯示了分配至某一個IP地址的主機(jī)名
總結(jié):
關(guān)于來自HTTP流量的設(shè)備型號及操作系統(tǒng),以及Kerberos流量的Windows用戶賬戶信息的兩部分內(nèi)容,您可以點擊以下鏈接地址繼續(xù)閱讀:
https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
從網(wǎng)絡(luò)流量中正確識別主機(jī)和用戶,對于及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意行為至關(guān)重要。使用本教程中的方法,我們可以更好地利用Wireshark來識別出受影響的主機(jī)和用戶。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實的平臺,并聯(lián)合志同道合的變革企業(yè),我們共同推動生態(tài)系統(tǒng)的不斷成長,并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動設(shè)備的網(wǎng)絡(luò)安全解決方案。
