Поиск и анализ хостов и пользователей в сетевом трафике при помощи WireShark
Когда хост заражен или любым другим образом угрожает вашей информационной безопасности, сетевым специалистам необходимо быстро проанализировать захваченные пакеты подозрительного сетевого трафика (захваченные и хранящиеся в файлах с расширением «.pcap» библиотеки libpcap), чтобы оперативно идентифицировать затронутые угрозой хосты и пользователей. В рамках данного руководства мы подробно, используя практические примеры, расскажем вам, как получить необходимую вам информацию об интересующих вас хостах и пользователях с помощью самой популярной программы-анализатора сетевого трафика Wireshark.
Итак, данные, которые вы, скорее всего, захотите извлечь для этих целей из захваченного трафика IPv4, можно разделить на четыре типа:
- Информация о хосте из трафика DHCP;
- Информация о хосте из трафика NetBIOS Name Service (NBNS);
- Модели и операционные системы устройств из трафика HTTP;
- Учетная запись пользователя Windows из трафика Kerberos.
Информация о хосте из трафика DHCP
Любой хост, генерирующий трафик в вашей сети, должен иметь три идентификатора: MAC-адрес, IP-адрес и имя хоста.
В большинстве случаев оповещения о подозрительной активности основаны на .......................................................
Данный материал доступен только зарегистрированным пользователям!
Войдите или зарегистрируйтесь бесплатно, чтобы получить доступ!
Регистрация займёт несколько секунд.
См. также:
Авторизуйтесь для этого