使用 wireshark 高效,准确地鉴别出入站的恶意流量

　　本文讲解一些实用的数据包分析技巧，帮助安全架构师们迅速，准确地定位那些恶意的数据包；

　　在分秒必争的安全突发事件与安全取证工作中，这些高效的方法显得格外重要.

　　wireshark 中的网络层名称解析功能，与真实场景的 DNS 解析刚好相反，默认情况下，wireshark 抓取的数据包是不会将网络层源 IP 与目标 IP 解析到主机名的，

　　除非在主菜单 view -> name resolution ->勾选 "enable for network layer"，这样，wireshark 会实时用本地配置的 DNS 服务器信息，对其发送解析请求与接收应答，而这个过程刚好与正向解析–从域名或主机名到 IP 的过程相反。

　　多数情况下，勾选"enable for network layer"后，在 wireshark 抓取数据包前，名称解析的工作已经由操作系统上的 DNS 客户端服务完成，但也有少数情况，从域名或主机名到 IP 的解析是在 wireshark 抓取并显示数据包后完成的，此时的解析结果仅保存在内核缓冲区里，wireshark 不会主动"更新"这里面的信息，因此你也许会看到，即便勾选了 "enable for network layer"，列表中的某些数据包的 IP 地址还是无法被"反向"显示为域名或主机名.

　　此时，你可以单击主菜单 view -> reload ，这将强制 wireshark 从系统那里更新名称解析的结果并显示。

　　实际上，wireshark 请求本地 DNS 客户端进行名称解析，本地 DNS 客户端的实现取决于操作系统，在 windows server 2008 R2 SP1 中，本地 DNS 客户端叫做

　　DNS Client ，这是一个 windows 服务例程，它负责处理所有网络应用程序的名称解析请求(提交给 DNS 服务器，或查看本地的 host 文件)，如果禁用该服务，那么任何网络应用程序，Chrome web browser 也好，wireshark 也好，都无法正常工作，这一点必须注意。

　　链路层 MAC 地址解析

　　这个解析唯一具有价值之处在于，它将 6 字节的 MAC 地址中的前 3 个 16 进制字节解析为网络设备(例如个人 PC 的网卡适配器，以及路由器)制造商的名称缩写。

　　注意，前 3 个 16 进制字节是由 IEEE 分配的，用于唯一标识各厂商的地址，而链路层 MAC 地址解析就是将其转换为可读性更强的厂商缩写名。

　　单击 wireshark 主菜单 view -> name resolution -> enable for MAC layer ，即可启用链路层 MAC 地址解析功能。

　　另外，通过单击主菜单 statistics -> show address resolution ，在打开的对话框中，你可以找到一个列表，包含有 wireshark 内置的所有厂商 MAC 地址与厂商缩写的对应关系，如下所示：

　　注意，即便这些信息能在渗透测试中帮助判断目标的基础设施类型，但是这些信息可以通过技术手段更改，因此并不总是准确，但是对于多数组织机构而言，我们可以认为这里的信息是可采用的。
  
    文章来源：http://shayi1983.blog.51cto.com/4681835/1598656