恶意流量分析训练二

通过该实验了解使用wireshark进行恶意流量分析，本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。

 

 

环境：

局域网段：172.16.3.0/24（172.16.3.0 到 172.16.3.255）

域：eggnogsoup.com

域控：172.16.3.2-EggNogSoup-DC

网关：172.16.3.1

广播地址：172.16.3.255

 

使用wireshark打开数据包如图所示

Q1:域里有多少台存活的主机，分别给出他们的地址

点击上方的菜单->统计->conversations

选中ipv4选项卡，点击address A，就会按照address A排序了

然后就按照address A这一列来写出属于172.16.3.0/24的各个主机的ip

172.16.3.189

172.16.3.188

172.16.3.133

172.16.3.122

172.16.3.114

172.16.3.112

172.16.3.111

172.16.3.110

172.16.3.109

172.16.3.2

 

Q2.哪个主机的操作系统是ubuntu？

这个问题考到一个知识点，就是访问网页时，用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。

部分user agent如下所示

·  ·  Firefox

·  ·  Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0

·  ·  Mozilla/5.0 (X11; U; Linux x86_64; z