# 一、流量分析
#### 1、查找有关受感染的 Windows 计算机的以下信息:(主机名:IP地址、MAC 地址)
对于第一个问题,让我们过滤 Kerberos 网络流量。
Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。
要找到可能使用mind-hammer.net域登录的情况。这将使我们能够访问主机名、IP 地址和 MAC 地址,我们需要完成这个问题。幸运的是,我们能够提取这些信息,因为除了票证、身份验证器和其他一些敏感细节外,Kerberos 协议大部分都是未加密的
对于受感染的 Windows 机器的主机名,我们需要查找包含正在验证的用户名的 cname 字符串,以便对其进行过滤。
过滤器:ip.src==172.16.4.4 and kerberos.CNameString
单击数据包编号3209并转到详细信息窗格和 Kerberos > tgs-rep > cname:
现在要找到受感染机器的 IP 地址非常简单,只需目标 IP 地址:172.16.4.205
现在让我们在以太网 II下找到 MAC 地址,我们清楚地看到 MAC 地址:
账户名是:matthijs.devries
题目原题:https://systemweakness.com/wireshark-investigation-network-traffic-analysis-40047f029c79
还有些问题没有解答出来,文章后面没有提到,求大佬解决学习交流~
以后的练习网站
Malware-Traffic-Analysis.net - training exercises
https://www.malware-traffic-analysis.net/training-exercises.html
Crossing the Line: Unit 42 Wireshark Quiz for RedLine Stealer
https://unit42.paloaltonetworks.com/wireshark-quiz-redline-stealer/
