當(dāng)主機(jī)被確認(rèn)為感染病毒或遭受某種惡意攻擊時(shí)，作為安全從業(yè)人員，我們需要快速審查企業(yè)內(nèi)主機(jī)發(fā)送的可疑網(wǎng)絡(luò)流量包捕獲（pcap）數(shù)據(jù)，以識(shí)別受感染主機(jī)和用戶情況。

　　為此，本文將向各位讀者介紹：如何使用Wireshark這一應(yīng)用廣泛的網(wǎng)絡(luò)協(xié)議分析工具來采集pcap數(shù)據(jù)。我們將認(rèn)定您已經(jīng)完全掌握網(wǎng)絡(luò)流量基本要素，并以IPv4 <https://en.wikipedia.org/wiki/IPv4>流量pcap為例，論述以下幾個(gè)方面：

　　企業(yè)網(wǎng)絡(luò)中主機(jī)生成的任何流量均應(yīng)包含三個(gè)標(biāo)識(shí)符：一個(gè)MAC地址、一個(gè)IP地址和一個(gè)主機(jī)名。

　　多數(shù)情況下，安全技術(shù)人員都是基于IP地址來識(shí)別可疑活動(dòng)并發(fā)出預(yù)警，這意味著內(nèi)部IP地址也可能會(huì)帶來威脅。如果能夠查看完整的網(wǎng)絡(luò)流量數(shù)據(jù)包捕獲，你就會(huì)發(fā)現(xiàn)，該內(nèi)部IP地址生成的網(wǎng)絡(luò)流量包會(huì)顯示關(guān)聯(lián)的MAC地址和主機(jī)名。

　　那么，如何借助Wireshark技術(shù)來獲取主機(jī)信息呢？

　　通常我們基于兩類活動(dòng)來過濾主機(jī)信息：DHCP或NBNS。DHCP流量數(shù)據(jù)包有助于識(shí)別連接網(wǎng)絡(luò)的幾乎所有類型計(jì)算機(jī)的主機(jī)；NBNS流量主要由微軟Windows系統(tǒng)計(jì)算機(jī)或運(yùn)行MacOS系統(tǒng)的蘋果主機(jī)生成。

　　點(diǎn)此： https://www.malware-traffic-analysis.net/training/host-and-user-ID.html獲取本教程的第一個(gè)pcap數(shù)據(jù)包host-and-user-ID-pcap-01.pcap。這個(gè)pcap數(shù)據(jù)包捕獲來源于內(nèi)部IP地址172.16.1[.]207。在Wireshark中打開pcap數(shù)據(jù)包，并設(shè)置過濾條件bootp，如圖1所示。該過濾器就會(huì)顯示DHCP流量。

　　注意：如果使用3.0版Wireshark，檢索詞應(yīng)為“dhcp”而不是“bootp”。

　　圖1：使用Wireshark實(shí)現(xiàn)DHCP過濾

　　選中信息欄中顯示為DHCP Request的數(shù)據(jù)幀。查看數(shù)據(jù)幀詳細(xì)信息，并展開Bootstrap 協(xié)議（請(qǐng)求）行，如圖2所示。展開顯示客戶端標(biāo)識(shí)符和主機(jī)名行，如圖3所示�？蛻舳藰�(biāo)識(shí)符細(xì)節(jié)應(yīng)顯示分配給172.16.1[.]207的MAC地址，主機(jī)名細(xì)節(jié)應(yīng)顯示主機(jī)名信息。

　　圖2：響應(yīng)DHCP請(qǐng)求，展開顯示Bootstrap協(xié)議行

　　圖3：在DHCP請(qǐng)求信息中查找MAC地址和主機(jī)名

　　如圖3顯示，這種情況下，172.16.1[.]207的主機(jī)名為Rogers-iPad，MAC地址為7c:6d:62:d2:e3:4f，且該MAC地址分配給了一臺(tái)蘋果設(shè)備。根據(jù)要主機(jī)名，使用設(shè)備可能是一臺(tái)iPad，但僅僅依靠主機(jī)名還無法完全確認(rèn)。
　　如圖4所示，我們可以直接使用172.16.1[.]207將任意數(shù)據(jù)幀的MAC地址和IP地址進(jìn)行關(guān)聯(lián)。

　　圖4：將任意數(shù)據(jù)幀的MAC地址與IP地址進(jìn)行關(guān)聯(lián)

　　受DHCP租期更新頻率的影響，你的pcap數(shù)據(jù)包中可能沒有捕獲到DHCP流量。幸運(yùn)的是，我們可以使用NBNS流量來識(shí)別Windows系統(tǒng)計(jì)算機(jī)或MacOS系統(tǒng)蘋果主機(jī)。

　　本教程介紹的第二個(gè)pcap數(shù)據(jù)包捕獲host-and-user-ID-pcap-02.pcap，可點(diǎn)此 <https://www.malware-traffic-analysis.net/training/host-and-user-ID.html>獲取。該數(shù)據(jù)包捕獲來源于內(nèi)部IP地址為10.2.4[.]101的Windows系統(tǒng)主機(jī)。使用Wireshark打開pcap，并配置過濾條件nbns，就會(huì)顯示NBNS流量。然后選擇第一個(gè)數(shù)據(jù)幀，你就可以快速將IP地址與MAC地址和主機(jī)名進(jìn)行關(guān)聯(lián)，如圖5所示。

　　圖5：借助NBNS流量將主機(jī)名與IP和MAC地址進(jìn)行關(guān)聯(lián)

　　數(shù)據(jù)幀詳細(xì)信息顯示了分配給某一個(gè)IP地址的主機(jī)名，如圖6所示。

　　圖6：NBNS流量中包含的數(shù)據(jù)幀詳細(xì)信息顯示了分配至某一個(gè)IP地址的主機(jī)名

　　關(guān)于來自HTTP流量的設(shè)備型號(hào)及操作系統(tǒng)，以及Kerberos流量的Windows用戶賬戶信息的兩部分內(nèi)容，您可以點(diǎn)擊以下鏈接地址繼續(xù)閱讀：

　　https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

　　從網(wǎng)絡(luò)流量中正確識(shí)別主機(jī)和用戶，對(duì)于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的惡意行為至關(guān)重要。使用本教程中的方法，我們可以更好地利用Wireshark來識(shí)別出受影響的主機(jī)和用戶。

　　關(guān)于Palo Alto Networks（派拓網(wǎng)絡(luò)）

　　作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò)）一直以不斷挑戰(zhàn)網(wǎng)絡(luò)安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡(luò)攻擊來保護(hù)數(shù)字時(shí)代的生活方式，我們有幸能夠參與其中，為成千上萬家企業(yè)以及他們的客戶保駕護(hù)航。我們的獨(dú)具開創(chuàng)性的Security Operating Platform，通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks（派拓網(wǎng)絡(luò)）掌握安全、自動(dòng)化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實(shí)的平臺(tái)，并聯(lián)合志同道合的變革企業(yè)，我們共同推動(dòng)生態(tài)系統(tǒng)的不斷成長(zhǎng)，并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨(dú)具創(chuàng)新性的跨云端、網(wǎng)絡(luò)和移動(dòng)設(shè)備的網(wǎng)絡(luò)安全解決方案。