简介

NetworkMiner是NETRESEC推出的一个基于GUI的工具，它能更容易地帮助分析人员获得PCAP数据的更大画面。这篇文章将带你了解该工具的组成部分，以及如何使用它来快速了解网络捕获时发生的情况。

设置

在Windows设备上，NetworkMiner被下载并作为可移植的可执行文件（PE）运行。对于Linux和macOS用户，NetworkMiner可以通过Mono，一个开源的.NET框架启动。欲了解更多详情，请向下滚动到 的FAQ部分。

探索工具

在继续之前，请注意以下几点。

这篇文章的范围是使用NetworkMiner来读取和分析PCAP文件；这不包括它作为网络嗅探工具和从命名管道读取的能力。例子中使用的PCAP文件是从SANS KringleCon 2022挑战赛中获得的。

NetworkMiner界面包含以下部分。

主机。包含捕获时网络中存在的所有设备（分配了一个IP地址）。其他属性：主机名称、操作系统、MAC地址、域名、进入/离开主机的数据包、进入/离开会话、查询的NetBIOS名称、查询的DNS名称。文件。在主机之间传输或接收的文件的列表，按帧号排列（默认）。其他属性：文件大小、源和目的主机、源和目的端口、协议、时间戳。图像。通过网络发送或接收的任何图像（如jpeg、gif、png格式）的缩略图。信息。在网络上传输或接收的信息的列表。其他属性：源和目的主机，"来自 "和 "到 "字段，主题，协议，时间戳，大小。凭证。明文密码、NTLM挑战-回应令牌、会话cookies的列表。对于密码，会显示相应的用户名。其他属性：登录时间戳、服务器和客户端主机、协议。会话。服务器-客户端应用层会话的列表，按帧号排列（默认）。其他属性：服务器和客户端端口，协议。DNS。捕获时在网络内发出的DNS请求的列表（客户端到服务器），按帧号排序（默认）。其他属性：客户端和服务器端口、DNS请求类型（A、CNAME等）、DNS响应、TTL。参数。可过滤的网络参数名称和从数据包中得出的值的列表。一个参数名-值对的例子。ParameterName = GET; ParameterValue = /index.php关键词。用于在调查期间在整个网络捕获中运行关键词搜索（通过单个单词、包含单词列表的文本文件）。异常情况。概述该工具观察到的网络捕获中的任何不一致或不寻常的因素。例1

文件加载到NetworkMiner后，我们可以使用Hosts部分来查看网络中的主机列表。主机是按 IP 地址排序的（默认情况下）。我们可以利用公共和私人IP地址的知识来区分可能属于内部网络的主机和外部主机。

通过点击 "+"图标，查看更多关于主机的信息，我们可以推断出关于内部网络的以下信息。

Network: 10.9.24.0/24Gateway: 10.9.24.1- NIC: NetGearBroadcast IP: 10.9.24.255One host:- IP: 10.9.24.101- Hostname: desktop-tmtfgvh- NIC: HP- OS: Win10

其余的主机都有分配给它们的公共IP地址（多播IP除外--不在我们的范围内）。在这种情况下，我们发现一些主机指向microsoft[.]com，表明是通常的DNS流量（可使用DNS部分验证）。我们还发现了一些值得进一步调查的可疑主机（用黄色标出）。对于这些主机，我们可以看到它们开放的端口（80，443），以及与其他主机的网络会话。

Inbound traffic from heardbellith[.]Icanwepeh[.]nagoy(a) (IP: 151.236.219[.]181) over port 443Inbound traffic from adv[.]epostoday[.]uk (IP: 192.185.57[.]242) over port 80; running Apache serviceInbound traffic from psprponounst[.]aquarelle (IP: 62.98.109[.]30) over port 443

以IP地址192.185.57[.]242为例，我们可以使用文件和参数部分来过滤特定的框架。

从文件部分，你可以下载文件或通过右键单击感兴趣的文件来查看关于文件的更多细节。

值得一提的是，内部主机DESKTOP-TMTFGVH（捕获时在网络中观察到的唯一内部主机）有31个外发会话，其中有三个可疑的主机。这为调查这三个外部主机提供了更多理由。

使用上述分流方法，我能够回答挑战中的一个问题（问题4），而不需要转到Wireshark。

Apache服务器的IP地址。192.185.57[.]242

例2

其中一项任务是确定蛮力攻击背后的IP地址。使用 "证书 "部分，可以看到犯罪者使用了18.222.86[.]32这个主机。你可以向下滚动到底部，看看使用的用户名-密码组合。每个用户名都使用了相同的密码列表。第一个用户名是alice。

因此，挑战的前两个问题的答案很容易得到。

犯罪者的主机IP地址。18.222.86[.]32

攻击中的第一个用户名：'alice'

最后一个问题（IMDS、XXE和其他缩写）的提示也可以在分流过程中获得--XXE攻击指向XML文件的使用。通过在文件部分使用 "xml "一词进行关键字搜索，我们可以得到帧号，并使用它来透视Wireshark以获得更多细节。