wireshark数据流分析学习日记-day2 识别主机用户专题

动态主机配置协议 （DHCP） 流量的主机信息

网络中生成流量的任何主机都具有三个标识符,那就是：mac地址，ip地址和主机名

一般流量可以直接看到mac和ip

输入dhcp过滤dhcp流量

 mac，hostname与ip位置如图所示

关于mac地址：

 默认情况下，Wireshark 尝试将 MAC 地址的前 3 个字节解析为供应商标识。

图中我们发现mac地址以apple_开头，hostname以mac结尾由此我们可以推测出该流量是由apple mac book pro发出，同时用户可以匿名化mac地址所以以上推测不一定正确

来自 NetBIOS 名称服务 （NBNS） 流量的主机信息

应为dhcp的一些问题，可能找不到该类型的数据流，如果没有，那么可以试试nbns去识别windows或macos流量的hostname

我盟在这里也能直观地看到hostname（macos）

（windows） 

来自http流量的设备型号与操作系统

过滤未加密的http流量

http.accept_language

追踪tcp流

根据use-agent：可以得知此用户用的是edge浏览器 ，版本110.0.1587.69

 windows NT 10.0表示系统为win10或win11

Chrome、Edge 和 Firefox 等 Web 浏览器的开发人员已在 Windows NT 10.0 的 User-Agent 行中冻结了 Windows 版本号所以nt10.0对应win10与win11，从2023开始google chrome浏览器将在user-agent的任何版本中显示为nt 10.0

Apple 的 macOS 也发生了这种情况，以在 HTTP 请求标头中将 macOS 报告为 Catalina（版本 10.15.7）。

Google Chrome或基于Chromium的Web浏览器（如Microsoft Edge）生成的用户代理行包括Safari和AppleWebKit的字符串

如图

 我们可以发现(Linux; Android 13; Pixel 4a (5G))这是一个 手机流量，在现版本的Chrome中将报告为(Linux; Android 10; K)

若手机为苹果系统，则如图所示 用户使用的是 Apple 的 Safari 移动网络浏览器

识别 Active Directory （AD） 环境中的用户 

ad：Active Directory（简称AD。中國大陸譯名為「活動目錄」，台灣維持英文不譯）是微軟Windows Server中，負責架構中大型網路環境的集中式目錄管理服務（）-CSDN博客

最重要的信息可能是确定与受感染主机关联的用户。对于 AD 环境中的 Windows 客户端，我们可以根据 Kerberos 流量中的用户帐户名确定用户。

Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。

打开一个来自以下 AD 环境中的 Windows 主机的数据流

• 域名：www.pcapworkshop.网
• 网段：172.16.1.0/24 (172.16.1.0 - 172.16.1.255）
• 域控制器 IP：172.16.1[.]16
• 域控制器主机名：PCAPWORKSHOP-DC
• 分段网关：172.16.1.1
• 广播地址：172.16.1.255
• Windows 客户端：172.16.1.141

 启用了 IPv4 和 IPv6 的环境，但 Kerberos 流量仅为 IPv4

过滤

kerberos.CNameString

 找到CNameString

CNameString代表windows的host name和user account name

除了 Kerberos 流量之外，我们还可能在轻量级目录访问协议 （LDAP） 流量中找到用户的名字和姓氏或其他标识符。

ldap contains "CN=Users"

 默认 Windows 主机名

Windows 10 和 Windows 11 计算机的默认主机名是一个 15 个字符的字符串，以 DESKTOP- 开头，以 7 个随机字母数字字符结尾。

这将在 IP 层或更高级别的任何流量中查找明文 ASCII 字符串 DESKTOP-。

键入

ip contains"DESKTOP-"

也可以直接搜desktop-