Estou tentando depurar NTLMo problema de autenticação. Uma das minhas ideias era capturar o tráfego da rede e analisá-lo. No meu caso, NTLMa autenticação está passando pela porta não-stardart (6901). Claro, o Wireshark não consegue detectá-lo. Mas existenão NTLM( NTLMSSP) protocolona listano Decode ascardápio. eu não posso fazer assimaqui.
Existe uma maneira de pedir ao Wireshark para decodificar o tráfego como NTLM?
Ou preciso modificar o tráfego capturado, por exemplo, mudar TCPde porta ou de alguma outra forma?
Responder1
Não tenho certeza de quais portas o NTLMSSP realmente usa, mas você pode tentar este script Lua para registrar os dissecadores NTLMSSP em sua porta personalizada.
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = tcp_port_table:get_dissector(445)
tcp_port_table:add(6901, tcp_ntlmssp_dis)
Salve isso em um arquivo - por exemplo, ntlmssp.lua - e diga ao Wireshark para carregá-lo, por exemplo
$ wireshark -X lua_script:ntlmssp.lua -r trace.pcap
Talvez seja necessário alterar a porta 445 para o que é realmente necessário ou registrar portas adicionais adicionando linhas adicionais como tcp_port_table:get_dissector(4711). Se você também precisar do UDP, faça o mesmo para o UDP.
Responder2
O script LUA de Alexander Janssen não funciona porque está obtendo o protocolo pelo número da porta (445 - SMB/CIFS), mas pode ser alterado para registrar o dissector NTLMSSP pelo nome assim:
local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = Dissector.get("ntlmssp")
tcp_port_table:add(6901, tcp_ntlmssp_dis)
6901 é a porta em que o serviço NTLMSSP está sendo executado. Para protocolos diferentes do NTLMSSP, qualquer coisa da lista emhttps://www.wireshark.org/docs/dfref/deve funcionar em vez de "ntlmssp".
Testei isso com sucesso na semana passada ao analisar o tráfego para um serviço NTLMSSP personalizado diferente.