介绍
NetworkMiner 是一款适用于Windows(也适用于Linux/Mac)的开源网络取证分析工具。它可被用作被动网络嗅探器/数据包捕获工具,也可被用于检测操作系统、会话、主机名、开放端口等,还能被用于解析pcap文件进行离线分析。点击此处可下载该工具。
NetworkMiner主要有两种运行模式:
- 嗅探模式:虽然该工具可用于嗅探数据包,但是与Wireshark和tcpdump等工具相比,它的嗅探功能只是开胃菜级别。因此在实际使用中很少会将该工具用作专门的嗅探器,我们只需要将其看作一个"具有嗅探功能的网络取证分析工具"就好。
- 数据包解析/处理模式:NetworkMiner可以对已经捕获的流量进行分析,以便快速了解捕获流量的概况和信息。正因如此,该工具一般被用于深入调查之前对网络的快速概览。
总结来说,这款工具主要用于快速了解网络概况,很少被用于深入调查网络流量。NetworkMiner这款工具的优缺点如下表所示:
| 优点 | 缺点 |
|---|---|
| 操作系统识别 | 不适用于主动嗅探 |
| 可提取数据包中文件 | 不适用于大型pcap调查 |
| 用户凭据抓取 | 过滤功能有限 |
| 关键字解析 | 不适用于手动流量调查 |
| 总体概览 |
工具概述
工具的整体界面如下:
先从红框中的三项说起。
首先是"File"栏,它可以用于导入已有pcap包,也可以指定IP接收pcap包,还可以推出软件:
"Tools"栏可以清除dashboard的数据并删除捕获的数据:
"Help"栏提供工具更新以及工具的介绍。
介绍完上面这三块,接下来就是该工具各个模块的功能。
Case Panel
该面板可以显示已调查pcap文件的列表。通过该面板可以重新加载刷新、查看元数据详情和删除已加载文件。
Hosts
该模块展示了pcap包中存在的主机信息,这些信息包括:
- IP 地址
- MAC 地址
- 操作系统
- 开放端口
- 发送/接收包
- 内/外会话
- 主机详情
我们还可以对主机信息按照某一规律进行排序,还可以更改某一主机信息的颜色以突出某一个主机。
Files
该模块展示了从pcap包中提取出的文件,文件信息包括了:
- 帧序号
- 文件名
- 后缀名
- 文件大小
- 源/目的地址
- 源/目的端口
- 协议
- 时间戳
- 文件本地存放路径
- 文件内容详情
我们还可以轻松打开文件和文件夹,深入查看文件详情。
我们还可以发现,在这个模块中能借助搜索框来过滤关键字,还可以过滤特定列。过滤可以接受四种类型的输入:
- ExactPhrase:完全匹配用户的输入,包括顺序和空格
- AllWords:同时包含所有关键字,但顺序和位置不限
- AnyWord:包含任意一个关键字即可
- RegExe:利用正则表达式语法进行复杂匹配
Images
和 "Files" 模块类似,提取被调查pcap包中的图片,我们还可以对该图片进行缩放。
Messages
该模块提取被调查pcap包中的邮件、聊天和消息。该模块提供的信息有:
- 帧序号
- 源/目的地址
- 协议
- 发送者
- 接收者
- 时间戳
- 大小
当我们选中其中某一个message时,右边会有该message的对应"属性"和"附件":
Credentials
该模块提取被调查pcap包中的凭证和密码哈希值,可以通过 Hashcat 和 John the Ripper等工具破解提取的凭证。NetworkMiner可以提取的凭证类型有:
- Kerberos 哈希值
- NTLM 哈希值
- RDP cookies
- HTTP cookies
- HTTP 请求
- IMAP
- FTP
- SMTP
- MS SQL
我们可以方便地复制提取凭证中的用户名和密码。
Sessions
该模块展示了pcap包中被检测到的会话信息,这些信息包括:
- 帧序号
- 客户端/服务端地址
- 源/目的端口
- 协议
- 开始时间
DNS
该模块展示了DNS查询的细节,具体包含信息如下:
- 帧序号
- 时间戳
- 客户端/服务端地址
- 源/目的端口
- IP TTL
- DNS TTL
- Transactions ID 和类型
- DNS查询和答复
- Alexa Top 1M(高级版才有的功能)
Parameters
该模块展示了被调查的pcap包中提取出来的参数。包含的参数信息有:
- 参数名
- 参数值
- 帧序号
- 源/目的主机地址
- 源/目的端口
- 时间戳
- 详细细节
Keywords
该模块展示了从调查的pcap包中提取出来的关键字。具体提供以下信息:
- 帧序号
- 时间戳
- 关键字
- 上下文
- 源/目的主机地址
- 源/目的端口
过滤关键字的操作:
- 添加关键字
- 重载 case files
Anomalies
该模块展示了被调查的 pcap 包中检测到的异常。但是请注意,NetworkMiner 并不是被设计作为IDS工具的。
版本差异
目前NetworkMiner较为常用的版本有 v1.6 和 v2.7,接下来对比一下这两个版本的区别。
MAC 地址处理
NetworkMiner 在 v2 版本后可以识别是否存在MAC地址冲突,此功能在v2之前不可用。
数据包处理
NetworkMiner 1.6及以下的版本可以更详细地处理数据包,而1.6版本后该功能被取消。
帧处理
NetworkMiner 1.6及以下的版本均可以处理帧,该选项可以提供帧的数量和帧的基本细节,而1.6版本后该功能被取消。
参数处理
NetworkMiner v2 之后的版本可以以更广泛的形式处理参数。因此,v1.6 比 v2 捕获的参数更少。
明文处理
NetworkMiner 1.6 及以下版本均可处理明文数据。该选项在单个选项卡中提供所有提取的明文数据,这有利于调查流量数据的明文数据,但是无法匹配明文数据和数据包。1.6 版之后不提供此功能。
小结
本文介绍了 NetworkMiner 是什么、如何使用以及如何调查 pcap 文件。在使用 NetworkMiner 有几点需要注意:
- 不要将此工具用作主要嗅探器。
- 使用该工具概述流量,然后使用 Wireshark 和 tcpdump 进行更深入的调查。