NetworkMiner网络取证分析工具(26)

news2024/11/17 23:58:27

预备知识  
    NetworkMiner是一款windows平台下开放源代码的网络取证分析工具,同时也是一款比较好的协议分析工具,它通过数据包嗅探或解析PCAP 文件能够检测操作系统,主机名和网络主机开放的端口。 

    除了能够进行基本的数据包抓取分析NetWorkMiner支持以下功能:

    以节点形式展示针对某个主机的通讯信息。

    可以通过数据包详细信息查看主机的IP地址、端口、使用协议以及服务器版本、数据包大小等。

    可以设置以IP地址或者主机名或者操作系统等其他类别显示数据包。

    可以自动通过数据包分析出里面的文件,例如图片、js以及css等其他传输的文件。

    可以分析出数据包中的证书信息。

    可以分析出http协议中的Session信息和cookie以及其他参数。

    支持根据关键词查找功能。

    支持对FTP, TFTP, HTTP, SMB 和 SMTP协议的文件提取。

特别注意:实验环境所用到的pcapfile数据均为虚假模拟信息,非真实信息

实验目的
使用NetworkMiner进行网络数据嗅探;

使用NetworkMiner分析pcap文件。

实验环境
操作系统:Windows XP

网络拓扑见下图:

IP随机

所用软件:NetworkMiner

实验步骤一
使用NetworkMiner进行网络数据嗅探


1、在桌面上打开 NetworkMiner
  
2、在“Select a network adapter in the list”提示框下拉选择要监听的网卡。


   
    选择好网卡之后,点击 “Start”开始抓包。可以看到在Hosts选项卡中抓取到的网络数据以主机节点形式展示。

 
    展开具体的主机,可以看到更详细的信息。
   
    清空和删除可以在Tools 菜单下找到。
   
实验步骤二
使用NetworkMiner分析pcap文件         


使用NetworkMiner可以解析PCAP文件,从而进行分析。PCAP文件可以由其他抓包软件获得,比如WireShark,tcpdump等。

1、导入pcap文件到NetworkMiner

 使用File ----Open打开 pcap文件,或者使用鼠标拖拽的方式,直接将 pcap文件拖拽到软件窗口都可以。(pcap文件位于桌面“pacapfile.pcap”)
   
    根据 pcap文件的大小,载入的时间也有所不同,请耐心等待一会。
   
    载入pcap文件的过程其实就是解析pcap文件的过程,完全载入完成之后,软件已经帮我们把数据包中的内容归类汇总了。
   
2、分析pcap文件

    在Hosts中可以看到我们分析的这个pcap文件有600多台主机的信息,意味着被抓包的宿主机与600多台主机有通信过程。
   
    在Hosts选项卡中可以通过 ip地址 ;mac地址,主机名等进行排序,在 “Sort Hosts on ”下拉框中按照具体需求进行选择即可。甚至可以按照操作系统类型排序
   
    我们选择 Operating System 排序,对其中一台通信主机进行分析,我们将这台主机的信息全部展开来看。
   
    可以分析出,119.84.114.103是一台Linux的主机,开放了 8000端口,与内网ip为192.168.1.99的主机进行了一次http通信。

    接下来我们来看 Files 选项卡,这里显示的是从pcap数据包中解析出来的文件

    在这里可以看到很详细的记录着文件来自于哪台主机的通信,甚至是通过什么端口传输的,通过什么协议传输的,还有文件名,文件的类型,文件的大小等。
   
    我们可以在某个文件上右键选择 打开文件或者打开文件夹
  
   比如拿这个 html文件来试试,看看是啥


   
    可以分析出,宿主机打开了qq空间。具体内容就不一一分析了。

    Image选项卡中是从File中提取的图片文件,就不详细具体分析了

 
    图片一样可以右键打开
  
   在 “credentials”选项卡中可以看到网络凭证信息
   
    比如登录的qq号码,网络登录的账号密码等。

    在 “Sessions”选项卡中可以看到所有的会话,包括会话端口,ip协议,时间等
   
    “DNS”选项卡中记录了dns解析
  
    在“Parameters“选项卡中,提取出来的是网络通信过程中的一些参数,比如浏览器的 User-Agent,这就可以知道宿主机用的是什么浏览器。
 
    不知道你发现了没有,几乎所有的选项卡中都有 Time 这个项。因为在网络取证中时间节点是一个非常重要的证据

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/398553.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

剑指 Offer day5, day6

剑指 Offer day5, day6 二分查找和二叉树的题目 剑指 Offer 04. 二维数组中的查找 剑指 Offer 04. 二维数组中的查找 - 力扣(Leetcode) 依然是利用特殊的数据状况改进查找的速度,注意边界条件。 题解这个类比二叉树的思路非常…

第五章:C语言数据结构与算法之双向带头循环链表

系列文章目录 文章目录系列文章目录前言一、哨兵位的头节点二、双向链表的结点三、接口函数的实现1、创建结点2、初始化3、尾插与尾删4、头插与头删5、打印6、查找7、随机插入与随机删除8、判空、长度与销毁四、顺序表和链表的对比总结前言 一般题目给的单链表是无头单向非循环…

GCC编译器编译C/C++程序(一步完成、分步完成)

以下内容源于C语言中文网的学习与整理,非原创,如有侵权请告知删除。 一、编译的流程 编译C/C 程序,是指将C/C源代码转变为可执行程序。 这需要经历4个过程:预处理(Preprocessing)、编译(Compi…

一次线上事故排查

问题3月1日监控系统监测到某子系统所在机器Cpu突然飙升。排查系统首先登录对应系统的机器,top查看机器信息,显示当前cpu已经到了800%top 显示800%根据top的pid查看对应服务,查看服务子进程排查子线程,发现子线程有8个都100%了&…

ESP32通过HTTP及SNTP同步网络时间

1、获取毫秒级时间 和普通系统函数相同 int get_sys_time_ms(void) {struct timeval tv_now;gettimeofday(&tv_now, NULL);int64_t time_us (int64_t)tv_now.tv_sec * 1000000L (int64_t)tv_now.tv_usec;return (int)(time_us/1000); } 2、延时毫秒级时间 void my_del…

【数据分析师求职面试指南】必备编程技能整理之Hive SQL必备用法

文章目录熟悉Python懂R语言掌握SQL大数据基础数据库常用类型多表查询更多聚合函数distinctcase when窗口函数动态更新一行变多行调优内容整理自《拿下offer 数据分析师求职面试指南》—徐粼著 第四章编程技能考查熟悉Python 懂R语言 掌握SQL 大数据基础 Hive时Hadoop的一个…

C++基础了解-10-C++ 判断

C 判断 一、C 判断 判断结构要求程序员指定一个或多个要评估或测试的条件,以及条件为真时要执行的语句(必需的)和条件为假时要执行的语句(可选的)。 下面是大多数编程语言中典型的判断结构的一般形式: …

电商 SaaS 全渠道实时数据中台最佳实践

摘要:本文整理自聚水潭数据专家张成玉,聚水潭高级数据工程师应圣楚,在 FFA 2022 行业案例专场的分享。本篇内容主要分为四个部分:实时数仓的建设和发展数据中台的产品体系及架构实时计算的实践和优化对实时计算的未来展望Tips&…

2019年MathorCup数学建模B题环形穿梭车系统的设计与调度解题全过程文档及程序

2019年第九届MathorCup高校数学建模挑战赛 B题 环形穿梭车系统的设计与调度 原题再现: 整体求解过程概述(摘要) 环形穿梭车系统为集多种高新技术于一体的自动搬运设备,行驶和输送速度快、灵活性好、自动化程度高。但由于系统采用封闭式轨道&#xff0c…

成为AI架构师的三大能力

AI架构师的定义 “AI 架构师”是以深度学习为代表的第三次AI热潮所催生的新型复合型人才,它的产生最本质的驱动因素是AI产业化落地应用的蓬勃发展对人才的需求,深度学习突出的工程属性也特别需要复合型人才来驾驭。 从字面来看,AI架构师的“…

Pytorch深度学习实战3-8:详解数据可视化组件TensorBoard安装与使用

目录1 什么是Tensorboard?2 Tensorboard安装3 Tensorboard可视化流程4 Tensorboard可视化实例4.1 常量可视化4.2 特征图可视化1 什么是Tensorboard? 在深度学习领域,网络内部如同黑箱,其中包含大量的连接参数,这给人工…

续航乱标销量低迷! 零跑汽车短时“掉”电快 ?

【锋巢网】 进入3月,行业复苏的景象映入眼帘,但是新能源车企却有人欢喜有人愁。 近日,各大新能源车企公布了自家2月份的销量数据,整体来看,部分新能源车企在2月份的交付量战绩显著,涨幅颇高。其中&#x…

class01:VUE简介与实例挂载

目录一、VUE简介1. 介绍2. 学习内容3. 引入Vue4. 全局配置5. Vue Devtools安装二、挂载Vue实例一、VUE简介 1. 介绍 Vue 是一套用于构建用户界面的渐进式框架。与其它大型框架不同的是,Vue 被设计为可以自底向上逐层应用。Vue 的核心库只关注视图层,不…

九、CSS3新特性三

文章目录一、逐帧动画二、flex弹性盒子三、少量元素侧轴对齐方式四、折行侧轴对齐方式五、项目属性六、网格布局七、网格布局的对齐方式八、网格布局的项目合并一、逐帧动画 一张背景图,改变back-position-x的位置让他动起来 step-start 逐帧动画 animation: play …

宝塔webhook自动化打包vue项目时,npm不生效问题

文章目录📋前言🎯查看webhook配置的代码🎯测试代码,检查输出内容🎯解决方法📋前言 这篇文章主要是记录和解决在宝塔面板中,webhook自动化打包vue项目时,npm不生效问题。说来奇怪&am…

【DBC专题】-10-CAN DBC转换C语言代码Demo_接收Rx报文篇

案例背景(共15页精讲): 该篇博文将告诉您,CAN DBC转换C语言代码Demo,只需传递对应CAN信号关联参数,无需每个信号"左移"和"右移",并举例介绍:在CANoe/Canalyzer中CAPL中的应用&#xff…

【MIT 6.S081】Lab1: Xv6 and Unix utilities

Util概述sleeppingpongprimesfindxargs本Lab包括五个应用程序的实现,初步熟悉系统调用接口。用时约8h(我太菜辣)本Lab包括五个简单程序的实现,初步熟悉系统调用接口。 笔者用时约6h(我太菜辣) 概述 根据文…

mysql数据库之全局锁

锁是计算机协调多个进程或线程并发访问某一资源的机制。在数据库中,除传统的计算资源(CPU、RAM、I/O)的争用以外,数据也是一种供许多用户共享的资源。如何保证数据并发访问的一致性、有效性是所有数据库必须解决的一个问题&#x…

【Day2】Numpy简单入门基础

NumPy 简单入门基础 我的另一篇文章 : Numpy介绍-深度学习:Numpy介绍-深度学习(Numpy介绍深度学习使用看这些足够了) import numpy as npmy_array np.array([1, 2, 3, 4, 5]) print(my_array)[1 2 3 4 5]print(my_array.shape)…

Kafka 多线程消费者

Kafka 多线程消费者多线程方案Kafka 0.10.1.0 后,Kafka Consumer 变为双线程的设计 : 用户主线程 : 启动 Consumer 的 main心跳线程 (Heartbeat Thread) : 定期对 Broker 发送心跳请求,探测消费者的存活性 (liveness)将心跳频率与主线程处理…