Поиск и анализ хостов и пользователей в сетевом трафике при помощи WireShark

Когда хост заражен или любым другим образом угрожает вашей информационной безопасности, сетевым специалистам необходимо быстро проанализировать захваченные пакеты подозрительного сетевого трафика (захваченные и хранящиеся в файлах с расширением «.pcap» библиотеки libpcap), чтобы оперативно идентифицировать затронутые угрозой хосты и пользователей. В рамках данного руководства мы подробно, используя практические примеры, расскажем вам, как получить необходимую вам информацию об интересующих вас хостах и пользователях с помощью самой популярной программы-анализатора сетевого трафика Wireshark.

Итак, данные, которые вы, скорее всего, захотите извлечь для этих целей из захваченного трафика IPv4, можно разделить на четыре типа:

• Информация о хосте из трафика DHCP;
• Информация о хосте из трафика NetBIOS Name Service (NBNS);
• Модели и операционные системы устройств из трафика HTTP;
• Учетная запись пользователя Windows из трафика Kerberos.

Информация о хосте из трафика DHCP

Любой хост, генерирующий трафик в вашей сети, должен иметь три идентификатора: MAC-адрес, IP-адрес и имя хоста.

В большинстве случаев оповещения о подозрительной активности основаны на .......................................................

Данный материал доступен только зарегистрированным пользователям!
Войдите или зарегистрируйтесь бесплатно, чтобы получить доступ!
Регистрация займёт несколько секунд.

Как использовать поисковик Shodan для защиты сети

Анализ дампов TCP с помощью Wireshark

400 Gigabit Ethernet - что представляет собой новейший стандарт?