日常流量分析3
Created at 2019-06-30 Updated at 2019-08-15 Category 流量分析
日常流量分析3
首先在分析流量之前,先利用Wireshark进行一下统计包的流量的多少以及协议所占的比例
由上图可看出此流量包共有7295条流量,所占比例大的协议由DCE/RPC,TCP,HTTPS等
活动的日期/时间
谁被感染了
涉及什么恶意软件
受感染用户的IP地址:
利用科来的矩阵可看出如下图所示
收发最多的IP即是受感染的IP地址,点击进去左边最多的汇集点进去。除此之外,在Wireshark中看到的每一条流量基本大部分是和下图IP一样的地址
可看到源地址的Ip地址,源地址的IP地址就是受感染的IP地址。
所有受感染的IP地址就是10.0.14.129
受感染用户的MAC地址:
由上面已知受感染的IP地址就是10.0.14.129
再次利用科来中的协议,找到DHCP协议。双击进去,就出现如下图所示页面
找到受感染IP地址即10.0.14.1与10.0.14.129对应的会话,双击,下面可打开看到源地址以及源地址的MAC地址
由上图对应的源地址和目标地址,可看出目标地址10.0.14.129对应的MAC地址就是00:1A:92:06:5C:7B
受感染用户的主机名:
利用Wireshark搜索kerberos.CNameString,找到受感染IP对应的流量,如下图
所以受感染用户的主机名就是chicago-7fa3-pc$
受感染用户的帐户名称:
和上步的操作一样
所以受感染用户的账户名就是faith.hoffman
活动的日期/时间
谁被感染了
涉及什么恶意软件