Ich versuche, NTLMdas Authentifizierungsproblem zu debuggen. Eine meiner Ideen war, den Netzwerkverkehr zu erfassen und ihn zu untersuchen. In meinem Fall NTLMläuft die Authentifizierung über den nicht standardmäßigen Port (6901). Natürlich kann Wireshark dies nicht erkennen. Aber es gibtNEIN NTLM( NTLMSSP) ProtokollIn der Listeim Decode asMenü. Ich kann nichtHier.
Gibt es eine Möglichkeit, Wireshark aufzufordern, den Datenverkehr als zu dekodieren NTLM?
Oder muss ich den erfassten Datenverkehr ändern, z. B. TCPden Port ändern oder etwas anderes?
Antwort1
Ich bin nicht ganz sicher, welche Ports NTLMSSP tatsächlich verwendet, aber Sie könnten dieses Lua-Skript ausprobieren, um die NTLMSSP-Dissektoren bei Ihrem benutzerdefinierten Port zu registrieren.
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = tcp_port_table:get_dissector(445)
tcp_port_table:add(6901, tcp_ntlmssp_dis)
Speichern Sie dies in einer Datei - z. B. ntlmssp.lua - und sagen Sie Wireshark, es zu laden, z. B.
$ wireshark -X lua_script:ntlmssp.lua -r trace.pcap
Möglicherweise müssen Sie den Port 445 auf den tatsächlich benötigten Wert ändern oder zusätzliche Ports registrieren, indem Sie zusätzliche Zeilen wie hinzufügen tcp_port_table:get_dissector(4711). Wenn Sie auch UDP benötigen, tun Sie dasselbe für UDP.
Antwort2
Das LUA-Skript von Alexander Janssen funktioniert nicht, da es das Protokoll über die Portnummer (445 – SMB/CIFS) abruft. Es kann jedoch so geändert werden, dass der NTLMSSP-Dissektor folgendermaßen über seinen Namen registriert wird:
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = Dissector.get("ntlmssp")
tcp_port_table:add(6901, tcp_ntlmssp_dis)
6901 ist der Port, auf dem der NTLMSSP-Dienst läuft. Für andere Protokolle als NTLMSSP kann alles aus der Liste unterhttps://www.wireshark.org/docs/dfref/sollte anstelle von „ntlmssp“ funktionieren.
Ich habe dies letzte Woche erfolgreich getestet, als ich den Datenverkehr zu einem anderen benutzerdefinierten NTLMSSP-Dienst analysiert habe.