使用 wireshark 高效,準(zhǔn)確地鑒別出入站的惡意流量
責(zé)編:admin |2015-01-05 11:09:59本文講解一些實(shí)用的數(shù)據(jù)包分析技巧,幫助安全架構(gòu)師們迅速,準(zhǔn)確地定位那些惡意的數(shù)據(jù)包;
在分秒必爭(zhēng)的安全突發(fā)事件與安全取證工作中,這些高效的方法顯得格外重要.
wireshark 中的網(wǎng)絡(luò)層名稱解析功能,與真實(shí)場(chǎng)景的 DNS 解析剛好相反,默認(rèn)情況下,wireshark 抓取的數(shù)據(jù)包是不會(huì)將網(wǎng)絡(luò)層源 IP 與目標(biāo) IP 解析到主機(jī)名的,
除非在主菜單 view -> name resolution ->勾選 "enable for network layer",這樣,wireshark 會(huì)實(shí)時(shí)用本地配置的 DNS 服務(wù)器信息,對(duì)其發(fā)送解析請(qǐng)求與接收應(yīng)答,而這個(gè)過(guò)程剛好與正向解析–從域名或主機(jī)名到 IP 的過(guò)程相反。
多數(shù)情況下,勾選"enable for network layer"后,在 wireshark 抓取數(shù)據(jù)包前,名稱解析的工作已經(jīng)由操作系統(tǒng)上的 DNS 客戶端服務(wù)完成,但也有少數(shù)情況,從域名或主機(jī)名到 IP 的解析是在 wireshark 抓取并顯示數(shù)據(jù)包后完成的,此時(shí)的解析結(jié)果僅保存在內(nèi)核緩沖區(qū)里,wireshark 不會(huì)主動(dòng)"更新"這里面的信息,因此你也許會(huì)看到,即便勾選了 "enable for network layer",列表中的某些數(shù)據(jù)包的 IP 地址還是無(wú)法被"反向"顯示為域名或主機(jī)名.
此時(shí),你可以單擊主菜單 view -> reload ,這將強(qiáng)制 wireshark 從系統(tǒng)那里更新名稱解析的結(jié)果并顯示。
實(shí)際上,wireshark 請(qǐng)求本地 DNS 客戶端進(jìn)行名稱解析,本地 DNS 客戶端的實(shí)現(xiàn)取決于操作系統(tǒng),在 windows server 2008 R2 SP1 中,本地 DNS 客戶端叫做
DNS Client ,這是一個(gè) windows 服務(wù)例程,它負(fù)責(zé)處理所有網(wǎng)絡(luò)應(yīng)用程序的名稱解析請(qǐng)求(提交給 DNS 服務(wù)器,或查看本地的 host 文件),如果禁用該服務(wù),那么任何網(wǎng)絡(luò)應(yīng)用程序,Chrome web browser 也好,wireshark 也好,都無(wú)法正常工作,這一點(diǎn)必須注意。
鏈路層 MAC 地址解析
這個(gè)解析唯一具有價(jià)值之處在于,它將 6 字節(jié)的 MAC 地址中的前 3 個(gè) 16 進(jìn)制字節(jié)解析為網(wǎng)絡(luò)設(shè)備(例如個(gè)人 PC 的網(wǎng)卡適配器,以及路由器)制造商的名稱縮寫。
注意,前 3 個(gè) 16 進(jìn)制字節(jié)是由 IEEE 分配的,用于唯一標(biāo)識(shí)各廠商的地址,而鏈路層 MAC 地址解析就是將其轉(zhuǎn)換為可讀性更強(qiáng)的廠商縮寫名。
單擊 wireshark 主菜單 view -> name resolution -> enable for MAC layer ,即可啟用鏈路層 MAC 地址解析功能。
另外,通過(guò)單擊主菜單 statistics -> show address resolution ,在打開(kāi)的對(duì)話框中,你可以找到一個(gè)列表,包含有 wireshark 內(nèi)置的所有廠商 MAC 地址與廠商縮寫的對(duì)應(yīng)關(guān)系,如下所示:
注意,即便這些信息能在滲透測(cè)試中幫助判斷目標(biāo)的基礎(chǔ)設(shè)施類型,但是這些信息可以通過(guò)技術(shù)手段更改,因此并不總是準(zhǔn)確,但是對(duì)于多數(shù)組織機(jī)構(gòu)而言,我們可以認(rèn)為這里的信息是可采用的。
文章來(lái)源:http://shayi1983.blog.51cto.com/4681835/1598656
- 360助力“奧運(yùn)冠軍之城”七臺(tái)河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書