网络流量分析 | NetworkMiner
介绍
NetworkMiner 是一款适用于Windows(也适用于Linux/Mac)的开源网络取证分析工具。它可被用作被动网络嗅探器/数据包捕获工具,也可被用于检测操作系统、会话、主机名、开放端口等,还能被用于解析pcap文件进行离线分析。点击此处可下载该工具。
NetworkMiner主要有两种运行模式:
- 嗅探模式:虽然该工具可用于嗅探数据包,但是与Wireshark和tcpdump等工具相比,它的嗅探功能只是开胃菜级别。因此在实际使用中很少会将该工具用作专门的嗅探器,我们只需要将其看作一个“具有嗅探功能的网络取证分析工具”就好。
- 数据包解析/处理模式:NetworkMiner可以对已经捕获的流量进行分析,以便快速了解捕获流量的概况和信息。正因如此,该工具一般被用于深入调查之前对网络的快速概览。
总结来说,这款工具主要用于快速了解网络概况,很少被用于深入调查网络流量。NetworkMiner这款工具的优缺点如下表所示:
| 优点 | 缺点 |
|---|---|
| 操作系统识别 | 不适用于主动嗅探 |
| 可提取数据包中文件 | 不适用于大型pcap调查 |
| 用户凭据抓取 | 过滤功能有限 |
| 关键字解析 | 不适用于手动流量调查 |
| 总体概览 |
工具概述
工具的整体界面如下:
先从红框中的三项说起。
首先是“File”栏,它可以用于导入已有pcap包,也可以指定IP接收pcap包,还可以推出软件:
“Tools”栏可以清除dashboard的数据并删除捕获的数据:
“Help”栏提供工具更新以及工具的介绍。
介绍完上面这三块,接下来就是该工具各个模块的功能。
Case Panel
该面板可以显示已调查pcap文件的列表。通过该面板可以重新加载刷新、查看元数据详情和删除已加载文件。
Hosts
该模块展示了pcap包中存在的主机信息,这些信息包括:
- IP 地址
- MAC 地址
- 操作系统
- 开放端口
- 发送/接收包
- 内/外会话
- 主机详情
我们还可以对主机信息按照某一规律进行排序,还可以更改某一主机信息的颜色以突出某一个主机。
Files
该模块展示了从pcap包中提取出的文件,文件信息包括了:
- 帧序号
- 文件名
- 后缀名
- 文件大小
- 源/目的地址
- 源/目的端口
- 协议
- 时间戳
- 文件本地存放路径
- 文件内容详情
我们还可以轻松打开文件和文件夹,深入查看文件详情。
我们还可以发现,在这个模块中能借助搜索框来过滤关键字,还可以过滤特定列。过滤可以接受四种类型的输入:
- ExactPhrase:完全匹配用户的输入,包括顺序和空格
- AllWords:同时包含所有关键字,但顺序和位置不限
- AnyWord:包含任意一个关键字即可
- RegExe:利用正则表达式语法进行复杂匹配
Images
和 “Files” 模块类似,提取被调查pcap包中的图片,我们还可以对该图片进行缩放。
Messages
该模块提取被调查pcap包中的邮件、聊天和消息。该模块提供的信息有:
- 帧序号
- 源/目的地址
- 协议
- 发送者
- 接收者
- 时间戳
- 大小
当我们选中其中某一个message时,右边会有该message的对应“属性”和“附件”:
Credentials
该模块提取被调查pcap包中的凭证和密码哈希值,可以通过 Hashcat 和 John the Ripper等工具破解提取的凭证。NetworkMiner可以提取的凭证类型有:
- Kerberos 哈希值
- NTLM 哈希值
- RDP cookies
- HTTP cookies
- HTTP 请求
- IMAP
- FTP
- SMTP
- MS SQL
我们可以方便地复制提取凭证中的用户名和密码。
Sessions
该模块展示了pcap包中被检测到的会话信息,这些信息包括:
- 帧序号
- 客户端/服务端地址
- 源/目的端口
- 协议
- 开始时间
DNS
该模块展示了DNS查询的细节,具体包含信息如下:
- 帧序号
- 时间戳
- 客户端/服务端地址
- 源/目的端口
- IP TTL
- DNS TTL
- Transactions ID 和类型
- DNS查询和答复
- Alexa Top 1M(高级版才有的功能)
Parameters
该模块展示了被调查的pcap包中提取出来的参数。包含的参数信息有:
- 参数名
- 参数值
- 帧序号
- 源/目的主机地址
- 源/目的端口
- 时间戳
- 详细细节
Keywords
该模块展示了从调查的pcap包中提取出来的关键字。具体提供以下信息:
- 帧序号
- 时间戳
- 关键字
- 上下文
- 源/目的主机地址
- 源/目的端口
过滤关键字的操作:
- 添加关键字
- 重载 case files
Anomalies
该模块展示了被调查的 pcap 包中检测到的异常。但是请注意,NetworkMiner 并不是被设计作为IDS工具的。
版本差异
目前NetworkMiner较为常用的版本有 v1.6 和 v2.7,接下来对比一下这两个版本的区别。
MAC 地址处理
NetworkMiner 在 v2 版本后可以识别是否存在MAC地址冲突,此功能在v2之前不可用。
数据包处理
NetworkMiner 1.6及以下的版本可以更详细地处理数据包,而1.6版本后该功能被取消。
帧处理
NetworkMiner 1.6及以下的版本均可以处理帧,该选项可以提供帧的数量和帧的基本细节,而1.6版本后该功能被取消。
参数处理
NetworkMiner v2 之后的版本可以以更广泛的形式处理参数。因此,v1.6 比 v2 捕获的参数更少。
明文处理
NetworkMiner 1.6 及以下版本均可处理明文数据。该选项在单个选项卡中提供所有提取的明文数据,这有利于调查流量数据的明文数据,但是无法匹配明文数据和数据包。1.6 版之后不提供此功能。
小结
本文介绍了 NetworkMiner 是什么、如何使用以及如何调查 pcap 文件。在使用 NetworkMiner 有几点需要注意:
- 不要将此工具用作主要嗅探器。
- 使用该工具概述流量,然后使用 Wireshark 和 tcpdump 进行更深入的调查。
相关文章:
网络流量分析 | NetworkMiner
介绍 NetworkMiner 是一款适用于Windows(也适用于Linux/Mac)的开源网络取证分析工具。它可被用作被动网络嗅探器/数据包捕获工具,也可被用于检测操作系统、会话、主机名、开放端口等,还能被用于解析pcap文件进行离线分析。点击此…...
弦理论的额外维度指的是什么,宇宙中有何依据
弦理论中的额外维度是解释微观世界与宏观宇宙矛盾的关键假设之一。它们并非科幻中的平行宇宙,而是通过严谨的数学框架提出,并可能留下可观测的宇宙学痕迹。以下是具体解析: 一、弦理论为何需要额外维度? 数学自洽性要求 弦理论中…...
std::tuple 用法
std::tuple 是 C11 引入的模板类,用来存储多个不同类型的值,类似于 Python 的元组。你可以把它看作是一种“组合多个变量在一个对象中”的方式。 ✅ 基本用法 #include <tuple> #include <iostream>int main() {std::tuple<int, std::st…...
深入理解 Git 分支操作的底层原理
在软件开发的世界里,Git 已经成为了版本控制的标配工具。而 Git 分支功能,更是极大地提升了团队协作和项目开发的效率。我们在日常开发中频繁地创建、切换和合并分支,但是这些操作背后的底层原理是怎样的呢?在之前的博客探秘Git底…...
Excel MCP: 自动读取、提炼、分析Excel数据并生成可视化图表和分析报告
最近,一款Excel MCP Server的开源工具火了,看起来功能很强大,咱们今天来一探究竟。 基础环境 最近两年,大家都可以看到AI的发展有多快,我国超10亿参数的大模型,在短短一年之内,已经超过了100个&…...
C语言:深入理解指针(4)
目录 一、字符指针变量 二、数组指针变量 三、二维数组传参的本质 四、函数指针变量 五、typedef 类型重命名 六、函数指针数组 一、字符指针变量 我们常见的字符指针变量是这样的: char a w; char* p &a; char arr[] "abcd"; char* pa ar…...
Gensim 是一个专为 Python 设计的开源库
Gensim 是一个专为 Python 设计的开源库,其核心代码和生态系统均基于 Python 构建,目前官方仅支持 Python 语言。如果你需要在其他编程语言中实现类似功能(如词向量训练、主题模型等),通常需要使用对应语言的替代库或通…...
质量管理工程师面试总结
今天闲着无聊参加了学校招聘会的一家双选会企业,以下是面试的过程。 此次面试采用的是一对多的形式。(此次三个求职者,一个面试官) 面试官:开始你们每个人先做个自我介绍吧。 哈哈哈哈哈哈哈哈,其实我们…...
python 爬虫框架介绍
文章目录 前言一、Requests BeautifulSoup(基础组合)二、Scrapy(高级框架)三、PySpider(可视化爬虫)四、Selenium(浏览器自动化)五、Playwright(新一代浏览器自动化&…...
window 显示驱动开发-使用有保证的协定 DMA 缓冲区模型
Windows Vista 的显示驱动程序模型保证呈现设备的 DMA 缓冲区和修补程序位置列表的大小。 修补程序位置列表包含 DMA 缓冲区中命令引用的资源的物理内存地址。 在有保证的协定模式下,用户模式显示驱动程序知道 DMA 缓冲区和修补程序位置列表的确切大小,…...
)
蓝牙协议架构与调试工具详解(含 BLE、HCI 命令、调试命令)
本文介绍蓝牙协议从物理层到应用层的完整通信流程,并详解了 Linux 下主流蓝牙调试工具的使用方法,适用于嵌入式蓝牙驱动开发、BLE调试、通信协议分析等场景。 🔧 1. 蓝牙架构概览 ✅ 芯片架构 单模芯片:仅支持 BLE 或 Classic 蓝…...
预测模型开发与评估:基于机器学习的数据分析实践
在当今数据驱动的时代,预测模型已成为各行各业决策制定的核心工具。本文将分享我在COMP5310课程项目中开发预测模型的经验,探讨从数据清洗到模型优化的完整过程,并提供详细的技术实现代码。 ## 研究问题与数据集 ### 研究问题 我们的研究聚焦…...
提高表达能力
你遇到的这种情况其实很常见,背后的原因可能涉及思维模式、心理状态和表达习惯的综合作用。以下是具体分析和解决方案: 1. 原因分析:为什么讨论时流畅,独自表达却卡壳? 外部反馈缺失:讨论时对方的提问、反…...
【更新】全国省市县-公开手机基站数据集(2006-2025.3)
手机基站是现代通信网络中的重要组成部分,它们为广泛的通信服务提供基础设施。随着数字化进程的不断推进,手机基站的建设与布局对优化网络质量和提升通信服务水平起着至关重要的作用,本分享数据可帮助分析移动通信网络的发展和优化。本次数据…...
基于MNIST数据集的手写数字识别(CNN)
目录 一,模型训练 1.1 数据集介绍 1.2 CNN模型层结构 1.3 定义CNN模型 1.4 神经网络的前向传播过程 1.5 数据预处理 1.6 加载数据 1.7 初始化 1.8 模型训练过程 1.9 保存模型 二,模型测试 2.1 定义与训练时相同的CNN模型架构 2.2 图像的预处…...
MYSQL创建索引的原则
创建索引的原则包括: 表中的数据量超过10万以上时考虑创建索引。 选择查询频繁的字段作为索引,如查询条件、排序字段或分组字段。 尽量使用复合索引,覆盖SQL的返回值。 如果字段区分度不高,可以将其放在组合索引的后面。 对于…...
运行Spark程序-在shell中运行
Spark Shell运行程序步骤 启动Spark Shell 根据语言选择启动命令: Scala版本(默认):执行spark-shellPython版本:执行pyspark 数据加载示例 读取本地文本文件: // Scala版本 val textData sc.textFile(…...
idea Maven 打包SpringBoot可执行的jar包
背景:当我们需要坐联调测试的时候,需要对接前端同事,则需要打包成jar包直接运行启动服务 需要将项目中的pom文件增加如下代码配置: <build><plugins><plugin><groupId>org.springframework.boot</gr…...
HarmonyOs开发之——— ArkWeb 实战指南
HarmonyOs开发之——— ArkWeb 实战指南 谢谢关注!! 前言:上一篇文章主要介绍HarmonyOs开发之———合理使用动画与转场:CSDN 博客链接 一、ArkWeb 组件基础与生命周期管理 1.1 Web 组件核心能力概述 ArkWeb 的Web组件支持加载本地或在线网页,提供完整的生命周期回调体…...
国标GB/T 12536-90滑行试验全解析:纯电动轻卡行驶阻力模型参数精准标定
摘要 本文以国标GB/T 12536-90为核心框架,深度解析纯电动轻卡滑行试验的完整流程与数据建模方法,提供: 法规级试验规范:从环境要求到数据采集全流程详解行驶阻力模型精准标定:最小二乘法求解 ( FAv^2BvC ) 的MATLAB实…...
初识——QT
QT安装方法 一、项目创建流程 创建项目 入口:通过Qt Creator的欢迎页面或菜单栏(文件→新建项目)创建新项目。 项目类型:选择「Qt Widgets Application」。 路径要求:项目路径需为纯英文且不含特殊字符。 构建系统…...
几何_平面方程表示_点+向量形式
三维平面方程可以写成: π : n ⊤ X d 0 \boxed{\pi: \mathbf{n}^\top \mathbf{X} d 0} π:n⊤Xd0 📐 一、几何直观解释 ✅ 平面是“法向量 平面上一点”定义的集合 一个平面可以由: 一个单位法向量 n ∈ R 3 \mathbf{n} \in \mat…...
学习alpha
(sign(ts_delta(volume, 1)) * (-1 * ts_delta(close, 1))) 这个先用sign操作符 sign.如果输入NaN则返回NaN 在金融领域,符号函数 sign(x) 与 “基础”(Base)的组合概念可结合具体场景解读,以下从不同金融场景分析其潜在意义&…...
Java - Junit框架
单元测试:针对最小的功能单元(方法),编写测试代码对该功能进行正确性测试。 Junit:Java语言实现的单元测试框架,很多开发工具已经集成了Junit框架,如IDEA。 优点 编写的测试代码很灵活,可以指某个测试方法…...
秒删node_modules[无废话版]
“npm install”命令带来的便利和高效让人感到畅快,但删除依赖包时却可能带来诸多困扰。特别是在项目依赖关系较为复杂的情况下,node_modules文件夹的体积往往会膨胀至数百MB甚至几个GB,手动删除时进度条长时间转圈,令人感到焦虑和…...
kkFileView文件文档在线预览镜像分享
kkFileView为文件文档在线预览解决方案,该项目使用流行的spring boot搭建,易上手和部署,基本支持主流办公文档的在线预览,如doc,docx,xls,xlsx,ppt,pptx,pdf,txt,zip,rar,图片,视频,音频等等 开源项目地址 https://gitee.com/kek…...
实例分割AI数据标注 ISAT自动标注工具使用方法
文章目录 🌕ISAT安装和启动方法🌕下载和使用AI分割模型🌙SAM模型性能排行🌙手动下载sam模型 & sam模型下载路径🌕使用方法🌙从file中导入图片🌙点击左上角的图标进入分割模式🌙鼠标左键点击画面中的人则自动标注🌙点击右键该区域不标注🌙一个人一个人的…...
Qt图表绘制(QtCharts)- 性能优化(13)
文章目录 1 批量替换代替追加1.1 测试11.2 测试21.3 测试3 2 开启OpenGL2.1 测试12.2 测试22.3 测试32.4 测试4 更多精彩内容👉内容导航 👈👉Qt开发 👈👉QtCharts绘图 👈👉python开发 …...
Spring Cloud动态配置刷新:@RefreshScope与@Component的协同机制解析
在微服务架构中,动态配置管理是实现服务灵活部署、快速响应业务变化的关键能力之一。Spring Cloud 提供了基于 RefreshScope 和 Component 的动态配置刷新机制,使得开发者可以在不重启服务的情况下更新配置。 本文将深入解析 RefreshScope 与 Component…...
部署docker上的redis,idea一直显示Failed to connect to any host resolved for DNS name
参考了https://blog.csdn.net/m0_74216612/article/details/144145127 这篇文章,关闭了centos的防火墙,也修改了redis.conf文件,还是一直显示Failed to connect to any host resolved for DNS name。最终发现是腾讯云服务器那一层防火墙没…...