Estoy intentando depurar NTLMel problema de autenticación. Una de mis ideas fue capturar el tráfico de la red y analizarlo. En mi caso, NTLMla autenticación se realiza a través de un puerto que no es Stardart (6901). Por supuesto, Wireshark no puede detectarlo. Pero hayNo NTLM( NTLMSSP) protocoloen la listaen Decode asel menú. no puedo hacer comoaquí.
¿Hay alguna forma de pedirle a Wireshark que decodifique el tráfico como NTLM?
¿O necesito modificar el tráfico capturado, por ejemplo, cambiar de TCPpuerto u otro?
Respuesta1
No estoy muy seguro de qué puertos utiliza realmente NTLMSSP, pero puede probar este script Lua para registrar los disectores NTLMSSP en su puerto personalizado.
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = tcp_port_table:get_dissector(445)
tcp_port_table:add(6901, tcp_ntlmssp_dis)
Guarde esto en un archivo, por ejemplo, ntlmssp.lua, y dígale a Wireshark que lo cargue, por ejemplo
$ wireshark -X lua_script:ntlmssp.lua -r trace.pcap
Es posible que tengas que cambiar el puerto 445 a lo que realmente necesitas o registrar puertos adicionales agregando líneas adicionales como tcp_port_table:get_dissector(4711). Si también necesita UDP, haga lo mismo con UDP.
Respuesta2
El script LUA de Alexander Janssen no funciona porque obtiene el protocolo por número de puerto (445 - SMB/CIFS), pero se puede modificar para registrar el disector NTLMSSP por nombre como este:
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = Dissector.get("ntlmssp")
tcp_port_table:add(6901, tcp_ntlmssp_dis)
6901 es el puerto en el que se ejecuta el servicio NTLMSSP. Para protocolos distintos de NTLMSSP, cualquier elemento de la lista enhttps://www.wireshark.org/docs/dfref/debería funcionar en lugar de "ntlmssp".
Probé esto con éxito la semana pasada al analizar el tráfico a un servicio NTLMSSP personalizado diferente.