tags: Analisti_Traffico_Wireshark wireshark Username_wireshark
Per trovare username e hostname possiamo usare diversi filtri:
DHCP
dhcp or bootp
#Richieste
dhcp.option.dhcp == 3
#ACK
dhcp.option.dhcp == 5
#NAK
dhcp.option.dhcp == 6
Ulteriori filtri per richieste
#Richiesta per hostname
dhcp.option.hostname contains "keyword"
#Dopo option puoi aggiungere i seguenti filtri:
- Option 12: hostname
- Option 50: requested_ip_address
- Option 51: requested_ip_lease_time
- Option 61: client's_MAC_address
Ulteriori filtri per ACK
#Richiesta per domain_name
dhcp.option.domain_name contains "keyword"
#Dopo option puoi aggiungere i seguenti filtri:
- Option 15: domain_name
- Option 51: assigned_ip_lease_time
NetBIOS (NBNS)
nbns
nbns.name contains "keyword"
Kerberos
- CNameString: The username
kerberos
kerberos.CNameString contains "keyword"
kerberos.CNameString and !(kerberos.CNameString contains "$" )
Nota: alcuni pacchetti potrebbero fornire informazioni sul nome host in questo campo. Per evitare questa confusione, filtrare il valore "$". I valori che terminano con "$" sono nomi host, mentre quelli che non lo terminano sono nomi utente.