當主機被確認為感染病毒或遭受某種惡意攻擊時,作為安全從業人員,我們需要快速審查企業內主機發送的可疑網絡流量包捕獲(pcap)數據,以識別受感染主機和用戶情況。
本文將向讀者介紹,如何使用Wireshark這一應用廣泛的網絡協議分析工具來採集pcap數據。並以IPv4流量pcap為例,論述以下兩個方面:
來自DHCP流量的主機信息來自NBNS流量的主機信息1. 來自DHCP流量的主機信息
企業網絡中主機生成的任何流量均應包含三個標識符:一個MAC地址、一個IP地址和一個主機名。
多數情況下,安全技術人員都是基於IP地址來識別可疑活動併發出預警,這意味著內部IP地址也可能會帶來威脅。如果能夠查看完整的網絡流量數據包捕獲,你就會發現,該內部IP地址生成的網絡流量包會顯示關聯的MAC地址和主機名。
那麼,如何藉助Wireshark技術來獲取主機信息呢?
通常我們基於兩類活動來過濾主機信息:DHCP或NBNS。DHCP流量數據包有助於識別連接網絡的幾乎所有類型計算機的主機;NBNS流量主要由微軟Windows系統計算機或運行MacOS系統的蘋果主機生成。
點此獲取本教程的第一個pcap數據包host-and-user-ID-pcap-01.pcap。這個pcap數據包捕獲來源於內部IP地址172.16.1[.]207。在Wireshark中打開pcap數據包,並設置過濾條件bootp,如圖1所示。該過濾器就會顯示DHCP流量。
注意:如果使用3.0版Wireshark,檢索詞應為“dhcp”而不是“bootp”。
使用Wireshark實現DHCP過濾
選中信息欄中顯示為DHCP Request的數據幀。查看數據幀詳細信息,並展開Bootstrap 協議(請求)行,如圖2所示。展開顯示客戶端標識符和主機名行。客戶端標識符細節應顯示分配給172.16.1[.]207的MAC地址,主機名細節應顯示主機名信息。
響應DHCP請求,展開顯示Bootstrap協議行
在DHCP請求信息中查找MAC地址和主機名
如上,這種情況下,172.16.1[.]207的主機名為Rogers-iPad,MAC地址為7c:6d:62:d2:e3:4f,且該MAC地址分配給了一臺蘋果設備。根據要主機名,使用設備可能是一臺iPad,但僅僅依靠主機名還無法完全確認。
下圖,我們可以直接使用172.16.1[.]207將任意數據幀的MAC地址和IP地址進行關聯。
將任意數據幀的MAC地址與IP地址進行關聯
2. 來自NBNS流量的主機信息
受DHCP租期更新頻率的影響,你的pcap數據包中可能沒有捕獲到DHCP流量。幸運的是,我們可以使用NBNS流量來識別Windows系統計算機或MacOS系統蘋果主機。
本教程介紹的第二個pcap數據包捕獲host-and-user-ID-pcap-02.pcap,可點此獲取。該數據包捕獲來源於內部IP地址為10.2.4[.]101的Windows系統主機。使用Wireshark打開pcap,並配置過濾條件nbns,就會顯示NBNS流量。然後選擇第一個數據幀,你就可以快速將IP地址與MAC地址和主機名進行關聯。
藉助NBNS流量將主機名與IP和MAC地址進行關聯
數據幀詳細信息顯示了分配給某一個IP地址的主機名。
NBNS流量中包含的數據幀詳細信息顯示了分配至某一個IP地址的主機名
總結:
從網絡流量中正確識別主機和用戶,對於及時發現網絡中存在的惡意行為至關重要。使用上文提及的方法,我們可以更好地利用Wireshark來識別出受影響的主機和用戶。
作者: Palo Alto Networks 威脅情報團隊Unit 42