當主機被確認為感染病毒或遭受某種惡意攻擊時，作為安全從業(yè)人員，我們需要快速審查企業(yè)內(nèi)主機發(fā)送的可疑網(wǎng)絡流量包捕獲（pcap）數(shù)據(jù)，以識別受感染主機和用戶情況。

　　為此，本文將向各位讀者介紹：如何使用Wireshark這一應用廣泛的網(wǎng)絡協(xié)議分析工具來采集pcap數(shù)據(jù)。我們將認定您已經(jīng)完全掌握網(wǎng)絡流量基本要素，并以IPv4 <https://en.wikipedia.org/wiki/IPv4>流量pcap為例，論述以下幾個方面：

　　企業(yè)網(wǎng)絡中主機生成的任何流量均應包含三個標識符：一個MAC地址、一個IP地址和一個主機名。

　　多數(shù)情況下，安全技術(shù)人員都是基于IP地址來識別可疑活動并發(fā)出預警，這意味著內(nèi)部IP地址也可能會帶來威脅。如果能夠查看完整的網(wǎng)絡流量數(shù)據(jù)包捕獲，你就會發(fā)現(xiàn)，該內(nèi)部IP地址生成的網(wǎng)絡流量包會顯示關(guān)聯(lián)的MAC地址和主機名。

　　那么，如何借助Wireshark技術(shù)來獲取主機信息呢？

　　通常我們基于兩類活動來過濾主機信息：DHCP或NBNS。DHCP流量數(shù)據(jù)包有助于識別連接網(wǎng)絡的幾乎所有類型計算機的主機；NBNS流量主要由微軟Windows系統(tǒng)計算機或運行MacOS系統(tǒng)的蘋果主機生成。

　　點此： https://www.malware-traffic-analysis.net/training/host-and-user-ID.html獲取本教程的第一個pcap數(shù)據(jù)包host-and-user-ID-pcap-01.pcap。這個pcap數(shù)據(jù)包捕獲來源于內(nèi)部IP地址172.16.1[.]207。在Wireshark中打開pcap數(shù)據(jù)包，并設置過濾條件bootp，如圖1所示。該過濾器就會顯示DHCP流量。

　　注意：如果使用3.0版Wireshark，檢索詞應為“dhcp”而不是“bootp”。

　　圖1：使用Wireshark實現(xiàn)DHCP過濾

　　選中信息欄中顯示為DHCP Request的數(shù)據(jù)幀。查看數(shù)據(jù)幀詳細信息，并展開Bootstrap 協(xié)議（請求）行，如圖2所示。展開顯示客戶端標識符和主機名行，如圖3所示。客戶端標識符細節(jié)應顯示分配給172.16.1[.]207的MAC地址，主機名細節(jié)應顯示主機名信息。

　　圖2：響應DHCP請求，展開顯示Bootstrap協(xié)議行

　　圖3：在DHCP請求信息中查找MAC地址和主機名

　　如圖3顯示，這種情況下，172.16.1[.]207的主機名為Rogers-iPad，MAC地址為7c:6d:62:d2:e3:4f，且該MAC地址分配給了一臺蘋果設備。根據(jù)要主機名，使用設備可能是一臺iPad，但僅僅依靠主機名還無法完全確認。
　　如圖4所示，我們可以直接使用172.16.1[.]207將任意數(shù)據(jù)幀的MAC地址和IP地址進行關(guān)聯(lián)。

　　圖4：將任意數(shù)據(jù)幀的MAC地址與IP地址進行關(guān)聯(lián)

　　受DHCP租期更新頻率的影響，你的pcap數(shù)據(jù)包中可能沒有捕獲到DHCP流量。幸運的是，我們可以使用NBNS流量來識別Windows系統(tǒng)計算機或MacOS系統(tǒng)蘋果主機。

　　本教程介紹的第二個pcap數(shù)據(jù)包捕獲host-and-user-ID-pcap-02.pcap，可點此 <https://www.malware-traffic-analysis.net/training/host-and-user-ID.html>獲取。該數(shù)據(jù)包捕獲來源于內(nèi)部IP地址為10.2.4[.]101的Windows系統(tǒng)主機。使用Wireshark打開pcap，并配置過濾條件nbns，就會顯示NBNS流量。然后選擇第一個數(shù)據(jù)幀，你就可以快速將IP地址與MAC地址和主機名進行關(guān)聯(lián)，如圖5所示。

　　圖5：借助NBNS流量將主機名與IP和MAC地址進行關(guān)聯(lián)

　　數(shù)據(jù)幀詳細信息顯示了分配給某一個IP地址的主機名，如圖6所示。

　　圖6：NBNS流量中包含的數(shù)據(jù)幀詳細信息顯示了分配至某一個IP地址的主機名

　　關(guān)于來自HTTP流量的設備型號及操作系統(tǒng)，以及Kerberos流量的Windows用戶賬戶信息的兩部分內(nèi)容，您可以點擊以下鏈接地址繼續(xù)閱讀：

　　https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

　　從網(wǎng)絡流量中正確識別主機和用戶，對于及時發(fā)現(xiàn)網(wǎng)絡中存在的惡意行為至關(guān)重要。使用本教程中的方法，我們可以更好地利用Wireshark來識別出受影響的主機和用戶。

　　關(guān)于Palo Alto Networks（派拓網(wǎng)絡）

　　作為全球網(wǎng)絡安全領(lǐng)導企業(yè)，Palo Alto Networks（派拓網(wǎng)絡）一直以不斷挑戰(zhàn)網(wǎng)絡安全現(xiàn)狀而著稱。我們的使命就是通過有效防御網(wǎng)絡攻擊來保護數(shù)字時代的生活方式，我們有幸能夠參與其中，為成千上萬家企業(yè)以及他們的客戶保駕護航。我們的獨具開創(chuàng)性的Security Operating Platform，通過持續(xù)創(chuàng)新為客戶的數(shù)字化轉(zhuǎn)型戰(zhàn)略提供支持。Palo Alto Networks（派拓網(wǎng)絡）掌握安全、自動化以及數(shù)據(jù)分析領(lǐng)域的最新技術(shù)突破。通過提供最真實的平臺，并聯(lián)合志同道合的變革企業(yè)，我們共同推動生態(tài)系統(tǒng)的不斷成長，并以此為基礎(chǔ)為業(yè)界提供卓有成效且獨具創(chuàng)新性的跨云端、網(wǎng)絡和移動設備的網(wǎng)絡安全解決方案。