当前位置：首页 > news >正文

NetworkMiner网络取证分析工具（26）

news 2026/3/30 8:54:12

预备知识
    NetworkMiner是一款windows平台下开放源代码的网络取证分析工具，同时也是一款比较好的协议分析工具，它通过数据包嗅探或解析PCAP 文件能够检测操作系统，主机名和网络主机开放的端口。

    除了能够进行基本的数据包抓取分析NetWorkMiner支持以下功能：

    以节点形式展示针对某个主机的通讯信息。

    可以通过数据包详细信息查看主机的IP地址、端口、使用协议以及服务器版本、数据包大小等。

    可以设置以IP地址或者主机名或者操作系统等其他类别显示数据包。

    可以自动通过数据包分析出里面的文件，例如图片、js以及css等其他传输的文件。

    可以分析出数据包中的证书信息。

    可以分析出http协议中的Session信息和cookie以及其他参数。

    支持根据关键词查找功能。

    支持对FTP, TFTP, HTTP, SMB 和 SMTP协议的文件提取。

特别注意：实验环境所用到的pcapfile数据均为虚假模拟信息，非真实信息

实验目的
使用NetworkMiner进行网络数据嗅探；

使用NetworkMiner分析pcap文件。

实验环境
操作系统：Windows XP

网络拓扑见下图：

IP随机

所用软件：NetworkMiner

实验步骤一
使用NetworkMiner进行网络数据嗅探

1、在桌面上打开 NetworkMiner

2、在“Select a network adapter in the list”提示框下拉选择要监听的网卡。

选择好网卡之后，点击 “Start”开始抓包。可以看到在Hosts选项卡中抓取到的网络数据以主机节点形式展示。

    展开具体的主机，可以看到更详细的信息。

    清空和删除可以在Tools 菜单下找到。

实验步骤二
使用NetworkMiner分析pcap文件

使用NetworkMiner可以解析PCAP文件，从而进行分析。PCAP文件可以由其他抓包软件获得，比如WireShark，tcpdump等。

1、导入pcap文件到NetworkMiner

使用File ----Open打开 pcap文件，或者使用鼠标拖拽的方式，直接将 pcap文件拖拽到软件窗口都可以。（pcap文件位于桌面“pacapfile.pcap”）

    根据 pcap文件的大小，载入的时间也有所不同，请耐心等待一会。

    载入pcap文件的过程其实就是解析pcap文件的过程，完全载入完成之后，软件已经帮我们把数据包中的内容归类汇总了。

2、分析pcap文件

    在Hosts中可以看到我们分析的这个pcap文件有600多台主机的信息，意味着被抓包的宿主机与600多台主机有通信过程。

    在Hosts选项卡中可以通过 ip地址；mac地址，主机名等进行排序，在 “Sort Hosts on ”下拉框中按照具体需求进行选择即可。甚至可以按照操作系统类型排序

    我们选择 Operating System 排序，对其中一台通信主机进行分析，我们将这台主机的信息全部展开来看。

    可以分析出，119.84.114.103是一台Linux的主机，开放了 8000端口，与内网ip为192.168.1.99的主机进行了一次http通信。

    接下来我们来看 Files 选项卡，这里显示的是从pcap数据包中解析出来的文件

    在这里可以看到很详细的记录着文件来自于哪台主机的通信，甚至是通过什么端口传输的，通过什么协议传输的，还有文件名，文件的类型，文件的大小等。

    我们可以在某个文件上右键选择打开文件或者打开文件夹

   比如拿这个 html文件来试试，看看是啥

可以分析出，宿主机打开了qq空间。具体内容就不一一分析了。

Image选项卡中是从File中提取的图片文件，就不详细具体分析了

    图片一样可以右键打开

   在 “credentials”选项卡中可以看到网络凭证信息

    比如登录的qq号码，网络登录的账号密码等。

    在 “Sessions”选项卡中可以看到所有的会话，包括会话端口，ip协议，时间等

    “DNS”选项卡中记录了dns解析

    在“Parameters“选项卡中，提取出来的是网络通信过程中的一些参数，比如浏览器的 User-Agent，这就可以知道宿主机用的是什么浏览器。

    不知道你发现了没有，几乎所有的选项卡中都有 Time 这个项。因为在网络取证中时间节点是一个非常重要的证据

NetworkMiner网络取证分析工具（26）

相关文章：

NetworkMiner网络取证分析工具（26）

Lombok 常用注解

SAP 生产订单和成本收集器在核算上的主要区别

Nginx-http-flv-module流媒体服务器搭建+模拟推流+flv.js在前端html和Vue中播放HTTP-FLV视频流

【大数据处理与可视化】一、大数据分析环境搭建（安装 Anaconda 3 开发环境）

Python3-输入和输出

Java后端通用接口设计

万字长文带你走进MySql优化(系统层面优化、软件层面优化、SQL层面优化)

云原生安全2.X 进化论系列|云原生安全2.X未来展望（4）

认识进程 -了解进程调度

第十届省赛——7外卖店优先级

做自动化测试选择Python还是Java？

C#基础之基础语法（一）

【JVM篇1】认识JVM，内存区域划分，类加载机制

CHAPTER 5 文件共享 - FTP

【MySQL】将 CSV文件快速导入 MySQL 中

Ngnix安装教程（2023.3.8）

【C语言】每日刷题 —— 牛客（2）

关于算法的一些简单了解

mysql无法启动服务及其他问题总结

机械原理课程设计洗瓶机机构设计（设计说明书+3张CAD图纸+连杆机构设计软件）

Git-RSCLIP遥感图像分类参数详解：英文标签设计与置信度调优

智能硬件开发实战：用天问Block给ASRPRO芯片添加声控功能（含完整代码）

深度学习环境配置太麻烦？试试这个训练环境镜像，一键部署快速上手

快速上手Qwen3-4B：无需配置，GPU自适应优化的文本对话服务

Z-Image-Turbo-rinaiqiao-huiyewunv参数详解：Turbo模型推荐步数/CFG/精度配置原理剖析

手把手教学：用SiameseAOE从海量文本中提取“属性-观点”对

基于python框架的船舶物流运输管理系统设计vue

ESP8266高速移位寄存器驱动库：3.8μs级GPIO直控

从WHL文件到集成开发：Windows系统下PySide2的完整部署指南