分享好友 最新动态首页 最新动态分类 切换频道
网络安全应急响应工具之-流量安全取证NetworkMiner
2024-12-24 01:59

在前面的一些文章中,用了很多的章节介绍流量分析和捕获工具wireshark。Wireshark是一款通用的网络协议分析工具,非常强大,关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。本文将介绍一个专注于网络流量取证的工具NetworkMiner,其视角和wireshark是不同的。

关于这两款工具最主要的区别如下
1,NetworkMiner注重从网络流量中提取关键信息和文件,而Wireshark更注重于详细的协议分析。
NetworkMiner主要用取证,提取流量数据包中的关键信息,通常称之为artifact,例如主机识别、文件提取,图片提取,参数提取,凭据提取等。Wireshark用来捕获和分析网络流量的每个数据包,提供详细的协议信息、源/目标地址、端口等,支持网络协议众多,提供了强大的过滤功能。关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。
2,NetworkMiner主要用于调查取证,Wireshark适用于各种网络分析和故障排除场景。
NetworkMiner的主要用途是帮助网络安全运营人员,安全应急响应人员,安全取证人员进行网络取证,通过分析网络流量来发现潜在的威胁、检测恶意文件等。而Wireshark通常用于网络协议分析、网络故障排除、网络安全审计等方面。它是一种通用的网络分析工具,适用于多种场景。

下面将对NetworkMiner的主要功能通过具体的数据包做一下介绍。

协议分析

NetworkMiner出发点是网络取证,因此针对的协议多是网络攻防过程中高频出现的协议,如下是其支持的协议种类

 

NetworkMiner虽然没有wireshark支持丰富,但是上述这些协议都是在传统的IT环境中和网络攻击密切相关的协议,因此在安全领域非常的重要,对于网络安全研究人员,网络安全运营人员,网络安全应急响应人员想要详细了解上述协议,请关注我的专栏《网络攻防协议实战分析
,见这里。

文件内容提取

NetworkMiner最重要的功能是提取流量中的artifact,其中文件是最为重要的artifact。目前NetworkMiner支持从如下的协议中提取文件

 

而wirehark目前只支持HTTP,TFTP,SMB,FTP等的文件提取,当然wireshark支持扩展的lua插件提取文件,需要自己编写程序实现,详见这里。
除此之外NetworkMiner还支持从加密的协议中提取证书文件,支持的协议如下

 
 

主机信息识别

图5
图5 识别出主机是一个Windows系统,并提供了网卡品牌,主机名称,浏览器UA的名称,JA3等诸多信息。如果主机是一个linux主机,则还有能提供Linux上服务器的banner信息的。

那么networkminer是如何识别主机的操作系统信息,网卡信息,以及判定ja3等信息是否存在问题的,在NetworkMiner的安装目录的Fingerprints目录中存在tcp.xmld,dhcp.xml,etter.finger.os以及p0f相关的文件,查看这些文件发现都是操作系统指纹信息映射表,因此其基本原理也是根据TCP,SMB,DHCP流量中的指纹信息进行比对。
网卡名称的映射关系主要在oui.txt,根据MAC地址的前24位能够识别出对应的厂商。
NetworkMiner集成了abuse.ch中的ja3和ja3s的指纹信息来判断TLS链接是否是已知的威胁,详见ja3_fingerprints.csv,sslblacklist.csv等文件。值得注意的是,要想跟踪最新的威胁,需要到abuse的官网去更新最新的ja3s等内容。同时付费版本也提供了跟多扩展情报的能力,关于有哪些威胁情报可以使用,将会在专栏进行介绍《安全运营之网络攻击研判分析》,这里。

由于上述的配置文件都是明文进行存储,因此给用户一定的灵活度,可以添加用户自定义的指纹信息,来满足调查取证过程中的需求。

用户凭据识别

关键字搜索

参数分析

DNS分析功能

在线和离线分析

工具支持实时监视网络流量,也可以对已捕获的PCAP文件进行离线分析。不仅如此该工具还支持从命名管道中读取数据,为用户提供更灵活的使用方式,这点不在赘述。

最新文章
邯郸移动获中型城市网络质量综合排名前十
近日,第三届移动网络高质量发展论坛会议发布了“2023年度全国重点区域移动网络质量评测现场路测结果”,邯郸移动在中型城市中网络质量综合得分排名全国前十。据悉,2023年工信部委托中国信通院组织开展了全国重点区域移动网络质量“百城”
焦虑还是效率?独立站卖家的AI效率之争
在数字化的巨浪中,人工智能(AI)技术的兴起为独立站注入了创新的动力。或是智能客服即时反馈,或是通过个性化推荐系统精准地满足用户搜索需求。借助其卓越的数据处理能力和自我学习能力,AI正在帮助独立站卖家实现更加智能化、高效的运营
谷歌SEO公司效果如何,如何选择优质服务?
在当下这个数字化时代,企业要想在激烈的市场竞争中脱颖而出,提升在线可见度至关重要。而谷歌SEO,作为提升网站在谷歌搜索引擎结果页(SERPs)排名的有效手段,无疑成为了众多企业的首选。作为一名拥有多年谷歌SEO实战经验的专业人士,我
文化这一年·艺术︱缤纷展览绘出京城艺术画卷
岁末的京城,接踵而至的新展令观众目不暇接:嘉德艺术中心的澄凝琼英故宫博物院藏玻璃精品展荟萃了中西方玻璃文物,来自英国利物浦国家博物馆近百件艺术原作与珍贵器物亮相国家大剧院,北京画院美术馆展出建筑大师童寯笔下百年前的欧洲风光
调用小红书API接口,实现关键词采集笔记正文、转评赞藏等,并封装exe软件!
熟悉我的小伙伴都了解,我之前发布过2款软件: 【GUI软件】小红书搜索结果批量采集,支持多个关键词同时抓取!【GUI软件】小红书详情数据批量采集,含笔记内容、转评赞藏等,支持多笔记同时采集࿰
杭州网站优化公司,专业提升企业网站效益
本文将对杭州网站优化公司如何提升企业网站效益进行详细阐述。首先,我们将从网站内容优化、页面优化、用户体验优化和搜索引擎优化这四个方面展开讨论,为您全面解析专业的网站优化服务如何提升企业的线上效益。专业的网站内容优化不仅可以
浩瀚深度发布AI大模型与AIGC伪造检测系统,加速全面人工智能化
在人工智能飞速发展的当下,国内众多科技公司争相把握“数字中国建设”的重大战略机遇,力求在这一领域取得突破性进展。近日,浩瀚深度正式发布了两款重要的人工智能产品:浩瀚AI大模型和AIGC伪造检测系统。这一举措不仅代表了公司在技术上
信息安全基础(习题卷14).pdfVIP
试卷科目:信息安全基础(习题卷14)第1部分:单项选择题,共152题,每题只有一个正确答案,多选或少选均不得分。1.[单选题]目前用户局域网内部区域划分通常通过实现()A)物理隔离B)Vlan划分C)防火墙防范答案:B解析:2.[单选题]黑客造成的主要安
移动端seo如何优化,需要做单独的m域名移动端googleseo优化吗?
【e6zzseo】专注seo搜索引擎优化技术8年以上,更新关于seo优化技术、seo推广、分享SEO优化工具、最新前沿seo套路技术研究开发。  今天有谷歌seo问了个问题:现在还有必要做m移动端优化?会不会显得多余了。​看看网友们
楼阳生在超硬材料产业高质量发展座谈会上强调 抢占前沿赛道 强化聚链成群 加快打造超硬材料产业新高地
  12月6日,省委书记楼阳生主持召开超硬材料产业高质量发展座谈会,听取我省超硬材料产业发展情况汇报,并与相关企业负责人和高校、科研院所专家一起,研究推动我省超硬材料产业高质量发展。  省工业和信息化厅、郑州市分别作了汇报。
相关文章
推荐文章
发表评论
0评