中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁 > 新聞 > 國(guó)內(nèi) >
 首頁 > 新聞 > 國(guó)內(nèi) >

Palo Alto Networks利用Wireshark技術(shù)識(shí)別受感染的主機(jī)和用戶

2019-04-02 14:02:51   作者:Palo Alto Networks(派拓網(wǎng)絡(luò))威脅情報(bào)團(tuán)隊(duì)Unit 42   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  最新博文內(nèi)容如下:
  當(dāng)主機(jī)被確認(rèn)為感染病毒或遭受某種惡意攻擊時(shí),作為安全從業(yè)人員,我們需要快速審查企業(yè)內(nèi)主機(jī)發(fā)送的可疑網(wǎng)絡(luò)流量包捕獲(pcap)數(shù)據(jù),以識(shí)別受感染主機(jī)和用戶情況。
  為此,本文將向各位讀者介紹:如何使用Wireshark這一應(yīng)用廣泛的網(wǎng)絡(luò)協(xié)議分析工具來采集pcap數(shù)據(jù)。我們將認(rèn)定您已經(jīng)完全掌握網(wǎng)絡(luò)流量基本要素,并以IPv4 <https://en.wikipedia.org/wiki/IPv4>流量pcap為例,論述以下幾個(gè)方面:
  • 來自DHCP流量的主機(jī)信息
  • 來自NBNS流量的主機(jī)信息
  • 來自HTTP流量的設(shè)備型號(hào)及操作系統(tǒng)
  • 來自Kerberos流量的Windows用戶賬戶信息
  來自DHCP流量的主機(jī)信息
  企業(yè)網(wǎng)絡(luò)中主機(jī)生成的任何流量均應(yīng)包含三個(gè)標(biāo)識(shí)符:一個(gè)MAC地址、一個(gè)IP地址和一個(gè)主機(jī)名。
  多數(shù)情況下,安全技術(shù)人員都是基于IP地址來識(shí)別可疑活動(dòng)并發(fā)出預(yù)警,這意味著內(nèi)部IP地址也可能會(huì)帶來威脅。如果能夠查看完整的網(wǎng)絡(luò)流量數(shù)據(jù)包捕獲,你就會(huì)發(fā)現(xiàn),該內(nèi)部IP地址生成的網(wǎng)絡(luò)流量包會(huì)顯示關(guān)聯(lián)的MAC地址和主機(jī)名。
  那么,如何借助Wireshark技術(shù)來獲取主機(jī)信息呢?
  通常我們基于兩類活動(dòng)來過濾主機(jī)信息:DHCP或NBNS。DHCP流量數(shù)據(jù)包有助于識(shí)別連接網(wǎng)絡(luò)的幾乎所有類型計(jì)算機(jī)的主機(jī);NBNS流量主要由微軟Windows系統(tǒng)計(jì)算機(jī)或運(yùn)行MacOS系統(tǒng)的蘋果主機(jī)生成。
  點(diǎn)此: https://www.malware-traffic-analysis.net/training/host-and-user-ID.html獲取本教程的第一個(gè)pcap數(shù)據(jù)包host-and-user-ID-pcap-01.pcap。這個(gè)pcap數(shù)據(jù)包捕獲來源于內(nèi)部IP地址172.16.1[.]207。在Wireshark中打開pcap數(shù)據(jù)包,并設(shè)置過濾條件bootp,如圖1所示。該過濾器就會(huì)顯示DHCP流量。
  注意:如果使用3.0版Wireshark,檢索詞應(yīng)為“dhcp”而不是“bootp”。
  圖1:使用Wireshark實(shí)現(xiàn)DHCP過濾
  選中信息欄中顯示為DHCP Request的數(shù)據(jù)幀。查看數(shù)據(jù)幀詳細(xì)信息,并展開Bootstrap 協(xié)議(請(qǐng)求)行,如圖2所示。展開顯示客戶端標(biāo)識(shí)符和主機(jī)名行,如圖3所示?蛻舳藰(biāo)識(shí)符細(xì)節(jié)應(yīng)顯示分配給172.16.1[.]207的MAC地址,主機(jī)名細(xì)節(jié)應(yīng)顯示主機(jī)名信息。
  圖2:響應(yīng)DHCP請(qǐng)求,展開顯示Bootstrap協(xié)議行
  圖3:在DHCP請(qǐng)求信息中查找MAC地址和主機(jī)名
  如圖3顯示,這種情況下,172.16.1[.]207的主機(jī)名為Rogers-iPad,MAC地址為7c:6d:62:d2:e3:4f,且該MAC地址分配給了一臺(tái)蘋果設(shè)備。根據(jù)要主機(jī)名,使用設(shè)備可能是一臺(tái)iPad,但僅僅依靠主機(jī)名還無法完全確認(rèn)。
  如圖4所示,我們可以直接使用172.16.1[.]207將任意數(shù)據(jù)幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。
  圖4:將任意數(shù)據(jù)幀的MAC地址與IP地址進(jìn)行關(guān)聯(lián)
  來自NBNS流量的主機(jī)信息
  受DHCP租期更新頻率的影響,你的pcap數(shù)據(jù)包中可能沒有捕獲到DHCP流量。幸運(yùn)的是,我們可以使用NBNS流量來識(shí)別Windows系統(tǒng)計(jì)算機(jī)或MacOS系統(tǒng)蘋果主機(jī)。
  本教程介紹的第二個(gè)pcap數(shù)據(jù)包捕獲host-and-user-ID-pcap-02.pcap,可點(diǎn)此 <https://www.malware-traffic-analysis.net/training/host-and-user-ID.html>獲取。該數(shù)據(jù)包捕獲來源于內(nèi)部IP地址為10.2.4[.]101的Windows系統(tǒng)主機(jī)。使用Wireshark打開pcap,并配置過濾條件nbns,就會(huì)顯示NBNS流量。然后選擇第一個(gè)數(shù)據(jù)幀,你就可以快速將IP地址與MAC地址和主機(jī)名進(jìn)行關(guān)聯(lián),如圖5所示。
  圖5:借助NBNS流量將主機(jī)名與IP和MAC地址進(jìn)行關(guān)聯(lián)
  數(shù)據(jù)幀詳細(xì)信息顯示了分配給某一個(gè)IP地址的主機(jī)名,如圖6所示。
  圖6:NBNS流量中包含的數(shù)據(jù)幀詳細(xì)信息顯示了分配至某一個(gè)IP地址的主機(jī)名
  總結(jié):
  關(guān)于來自HTTP流量的設(shè)備型號(hào)及操作系統(tǒng),以及Kerberos流量的Windows用戶賬戶信息的兩部分內(nèi)容,您可以點(diǎn)擊以下鏈接地址繼續(xù)閱讀:
  https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/
  從網(wǎng)絡(luò)流量中正確識(shí)別主機(jī)和用戶,對(duì)于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意行為至關(guān)重要。使用本教程中的方法,我們可以更好地利用Wireshark來識(shí)別出受影響的主機(jī)和用戶。
  關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
  作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時(shí)代的生活方式,我們有幸能夠參與其中,為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform,通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks(派拓網(wǎng)絡(luò))掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實(shí)的平臺(tái),并聯(lián)合志同道合的變革企業(yè),我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng),并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)