从自动提取到深度分析:NetworkMiner与Wireshark的完美结合

最新推荐文章于 2025-12-10 22:46:23 发布
原创 最新推荐文章于 2025-12-10 22:46:23 发布 · 830 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #测试工具 #网络 #数据分析 #安全威胁分析

「鸿蒙心迹」“2025・领航者闯关记“主题征文活动 10w+人浏览 421人参与

概述:什么是 NetworkMiner? (Overview: What is NetworkMiner?)

NetworkMiner 是一款开源的网络取证分析工具 (Network Forensic Analysis Tool, NFAT),主要用于 Windows,但也兼容 Linux, Mac OS X 和 FreeBSD。它可以作为被动的网络嗅探器来检测操作系统、会话、主机名等信息,但其核心优势在于离线解析 PCAP 文件,并从中自动提取和重组文件、证书、凭证等关键证据。

网络取证的目标是根据网络流量检测恶意活动、安全漏洞和网络异常。NetworkMiner 在此过程中扮演了“快速侦察兵”的角色,为深入分析提供了初步的、高价值的线索,具体包括:

  • 被拦截主机的上下文信息(IP, MAC, 主机名, 操作系统)。

  • 潜在的攻击指标或异常(流量尖峰、端口扫描)。

  • 识别用于攻击的工具(如 Nmap)。

核心功能 (Core Capabilities)
功能描述
流量嗅探能够拦截和记录通过网络的实时数据包(主要在 Windows 上)。
解析 PCAP 文件能够解析 PCAP 文件并以清晰、聚合的方式展示其内容。
协议分析能够从 PCAP 文件中识别所使用的协议。
操作系统指纹识别通过分析流量特征来识别操作系统,依赖于 Satorip0f
文件提取核心优势功能。能够自动从流量中提取和重建文件,如图片、HTML、邮件等。
凭证抓取核心优势功能。能够自动从明文协议中提取用户凭证和哈希值。
明文关键词解析能够从流量中提取明文关键词和字符串。
NetworkMiner vs. Wireshark
运行模式 (Operating Modes)

  • 嗅探模式: 仅在 Windows 上可用,且功能不如专用嗅探器(如 Wireshark)可靠。不建议作为主要嗅探工具。

  • 数据包解析模式: 推荐的核心用法。通过解析 PCAP 文件,快速为调查提供概览和“低垂的果实”。

功能对比 (Feature Comparison)

NetworkMiner 和 Wireshark 各有侧重,最佳实践是结合使用:先用 NetworkMiner 快速概览 PCAP 文件并提取文件/凭证,再用 Wireshark 进行深入的数据包级分析。

功能NetworkMinerWireshark
主要目的快速概览、流量映射、自动数据提取深入的数据包级分析
操作系统指纹识别✅ (自动化)
参数/关键词发现✅ (自动化)手动
凭证发现✅ (自动化)✅ (手动)
文件提取✅ (自动化)✅ (手动)
过滤选项有限✅ (极其强大)
协议分析❌ (高层)✅ (深度)
载荷分析✅ (深度)
统计分析✅ (强大)
主机分类
工具界面与使用 (Tool Interface and Usage)

NetworkMiner 的界面通过多个标签页来组织和展示从 PCAP 文件中解析出的信息。

  • 主机 (Hosts): 显示所有识别出的主机及其信息,包括 IP/MAC 地址、操作系统、开放端口、收发包数量等。

  • 会话 (Sessions): 显示检测到的所有会批,包括客户端/服务器地址、端口、协议和开始时间。

  • DNS: 显示所有 DNS 查询和响应的详细信息。

  • 凭证 (Credentials): 核心功能。自动提取在流量中发现的明文凭证和密码哈希,支持 Kerberos/NTLM 哈希、HTTP Cookie、FTP/SMTP 凭证等。

  • 文件 (Files): 核心功能。显示所有从流量中自动重建的文件,并提供文件名、大小、源/目标地址等信息。可以右键直接打开文件或其所在文件夹。

  • 图片 (Images): 专门用于展示所有提取出的图片,支持预览和缩放。

  • 参数 (Parameters): 显示从 HTTP 流量中提取的 URL 参数及其值。

  • 关键词 (Keywords): 根据用户定义的关键词列表,高亮显示在流量中匹配到的数据包。

    注意:每次更新关键词列表后,必须重新加载案例文件 (Reload case files) 才能生效。

  • 消息 (Messages): 提取电子邮件、聊天记录等消息内容。

  • 异常 (Anomalies): 提供有限的异常检测功能,主要针对 EternalBlue 等特定漏洞利用和欺骗尝试。

版本差异与建议 (Version Differences and Recommendations)

NetworkMiner 的不同版本在功能上存在显著差异。了解这些差异对于选择合适的工具至关重要。

功能旧版本 (<= 1.6)新版本 (2.x+)
MAC 地址处理基本增强,可识别 MAC 地址冲突。
详细数据包/帧视图✅ (提供)❌ (移除)
参数解析基本增强,可处理更广泛的参数形式。
明文 (Cleartext) 标签页✅ (提供)❌ (移除)

最佳实践: 由于新旧版本各有独占的实用功能,建议在你的取证工具箱中同时保留两个版本:一个稳定的旧版本(如 1.6)和一个最新的 2.x 版本,以便在不同分析场景下选用。

Neolnfra
关注
19、人工智能时代的网络取证:工具、进展挑战
river的博客
09-26 53
本文综述了人工智能时代下的网络取证技术发展,涵盖常用网络取证工具及其功能特性,重点介绍了IP回溯、入侵检测系统、攻击图分析、蜜罐技术及隐私保护数据分析等研究进展。同时探讨了当前面临的挑战,包括高速大容量网络数据处理、数据隐私保障、人工智能应用局限以及蜜罐开发不足等问题,并对未来发展方向进行了展望,强调技术创新在应对复杂网络安全威胁中的关键作用。
[网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信(一)
热门推荐
杨秀璋的专栏
09-29 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源和用户名密码,本文将讲解Python网络攻防相关基础知识,包括正则表达式、Web编程和套接字通信。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的经验进行讲解。
Wireshark 手册速览
csdn_tom_168的博客
06-23 1162
Wireshark 网络分析工具速览 摘要 Wireshark 是一款功能强大的开源网络协议分析工具,支持2000多种协议的深度解析和实时/离线抓包分析。文章详细介绍了Wireshark的核心功能、工作原理和典型应用场景,包括: 基础功能:全包捕获、协议解析、三平面分析和专家诊断系统 核心技术:包括BPF过滤器语法、协议层次化解析和统计分析功能 实战应用:涵盖HTTP/2性能分析、TCP故障排查、DNS异常检测等场景 扩展能力:命令行工具tshark、Python集成和Lua脚本扩展 性能优化:硬件加速和捕
恶意软件分析大合集
Sumarua的博客
05-09 1055
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
CTF Wiki隐写术全解:图片、音频流量包分析技巧
gitblog_00940的博客
10-24 760
隐写术是CTF竞赛中Misc类别常见的考察方向,通过在数字载体中隐藏信息而不被察觉。本文系统梳理图片、音频和流量包中的隐写手法,结合CTF Wiki项目实战案例,提供从基础分析到高级技巧的完整指南。 ## 图片隐写基础实战 图片隐写通过修改像素值、元数据或文件结构隐藏信息,常见载体包括PNG、JPG和GIF。CTF Wiki详细文档:[图片分析简介](https://link.gitcode...
BruteShark:一款功能强大的网络安全取证分析工具
白帽子佳奇的博客
06-24 1211
1、提取和编码用户名和密码(HTTP、FTP、Telnet、IMAP、SMTP等);2、提取身份验证哈希并使用Hashcat(Kerberos、NTLM、CRAM-MD5、HTTP摘要…)进行破解;3、构建可视化网络结构图(包含网络节点、开放端口、域用户等);4、提取DNS查询;5、重构所有的TCP & UDP会话;6、文件分割;7、提取VoIP通话(SIP、RTP);
恶意软件分析资料大合集
我在全球村
05-31 3030
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测分类 在线扫描沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
中国全球电子取证行业市场报告(公开信息版)
初始阶段。长文本博客做模型上下文。新书《千界明彻录》(故事形式构建元思维)——胡说小说。更多思辨内容在公众号。
05-18 1624
电子取证(Digital Forensics)是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术角度看,电子取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。简单来说,就是把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
Awesome Forensics 项目教程:构建专业数字取证工具链
gitblog_00917的博客
09-25 511
在数字化浪潮中,网络安全事件频发,数字取证(Digital Forensics)已成为网络安全防御体系的关键环节。面对海量数据、复杂环境和多样化攻击手法,安全从业者急需一套完整的工具链来应对挑战。Awesome Forensics项目正是为此而生——这是一个精心策划的开源数字取证工具和资源集合,涵盖了从数据采集到分析报告的完整流程。 通过本教程,您将掌握: - ???? 数字取证工具链的完整架构 -...
Wireshark流量分析工具在CTF中的应用下载
综上所述,该文件不仅提供了Wireshark这一关键工具本身,更重要的是其所承载的知识体系涵盖了CTF流量分析的全流程:从数据获取、协议解析、条件筛选、内容提取到高级统计自动化扩展。结合标签中的“buuctf”...
精选资源
溯源取证-流量分析 中级难度的资源
05-30
7. **NetworkMiner_2-8.zip**:NetworkMiner是一个网络取证工具,能够从数据包捕获文件中提取多种信息,如主机发现、文件恢复、会话重建等,对于流量分析极其有用。 8. **upx-3.96-win64-main.zip**:UPX是一个可...
恶意文档攻击溯源:Office宏流量CobaltStrike通信分析
通过对PCAP流量数据包的深度解析,结合WiresharkNetworkMiner、Zeek(原Bro)等工具,可以有效识别并提取出C2通信指纹,进而实现IP地址、域名归属、时间戳等溯源信息的定位。 此外,文档还引入了高级分析技术,如...
【NR5G网络拒绝码高级分析】:问题根源深度挖掘解决
![NR5G 网络拒绝码分析](https://devopedia.org/images/article/313/3191.1612448228.png) ...# 1....## NR5G网络拒绝码的定义重要性 在5G网络的高速发展过程中,网络拒绝码成为了提升用户体验和保障
wireshark的基本使用,过滤请求,过滤数据,追踪数据
qq_35860612的博客
12-05 233
(frame contains ":500") && (json.path_with_value == " 400: 发生错误")筛选出来后右键-追踪流-HTTP-stream 就可以看到http的请求参数和返回参数了。frame contains "输入数据中缺少以下变量"wireshark 过滤条件。# dump出来文件。
【Linux】tcpdump抓包工具wireshark介绍
最新发布
DevFrank的博客
12-10 265
tcpdump抓包工具wireshark介绍
网络分析工具wireshark使用教程
nan2008zzu的专栏
12-10 526
这里涉及到LInux的TCP时延机制,当被挥手端(这里是12672端口)第一次收到挥手端(这里是443端口)的“FIN”请求时,并不会立即发送ACK,而是会经过一段延迟时间后再发送,但是此时被挥手端也没有数据发送,就会向挥手端发送“FIN"请求,这里就可能造成被挥手端发送的“FIN”“ACK”一起被挥手端收到,导致出现“第二、三次挥手”合并为一次的现象,也就最终呈现出“三次挥手”的情况。局域网的所有流量都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流量进行解包,而丢弃其他mac的数据包。
Pytest教程: Pytest ini配置文件深度剖析
旦莫的博客
12-05 122
Pytest的灵活性很大程度上得益于其配置系统,其中ini配置文件(尤其是pytest.ini)作为最核心的配置载体,承担着用例发现规则定义、运行参数设置、插件配置等关键职责。掌握ini配置文件的使用技巧,能让我们的测试工作更高效、更规范。本文将从基础概念出发,逐步深入ini配置文件的核心配置项、实战场景应用、进阶技巧及问题排查,带大家全方位解锁Pytest ini配置的奥秘。
tomcat正常启动但 SpringMVC 控制器无法启动
阿鹏的博客
12-10 369
摘要: 排查Tomcat启动后无法访问SpringMVC接口的问题,发现是IDEA工件配置缺失导致依赖JAR未复制到out/artifacts/.../WEB-INF/lib目录。尽管Java类文件正常编译到WEB-INF/classes,但缺少Servlet/SpringMVC核心JAR导致请求无法路由。解决方法是手动将依赖JAR添加到lib目录并重新构建。文中对比了IDEA的out目录(IDE专属)Maven的target目录(构建工具标准)的区别,强调out/artifacts是Tomcat实际加载
软件测试测试题——单元测试
代码欢乐豆
12-10 232
Login类中BeginWithLetter(String a)方法的功能为判断用户输入a是否以字母作为开头,BeginWithLetterTest为其通过JUnit 4编写的测试类,其中的testBeginWithLetter方法通过断言语句验证BeginWithLetter方法的功能实现,请将代码补充完整。//JUnit 4.0的注解,表明testBeginWithLetter为。通过JUnit4编写如下测试脚本完成对于IsNull方法的验证。假设有一段存在缺陷的用于验证输入数据是否为空的程序代码。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值