构建Wireshark LDAP过滤器以用于将来的脚本

时间:2017-02-06 15:25:04

标签: ldap wireshark

全部

在我们的环境中,我们有几台服务器仍在使用ldap进行身份验证,我需要过滤ldap请求8小时,以便了解我们可能会暴露多少个不同的帐户。

问题是我无法创建太大的捕获。 (举个例子,使用过滤器来ldap端口并标记TCP请求的标志,在我的捕获达到100MB之前我几乎无法捕获3分钟。)

我想知道是否有办法构建一个捕获过滤器,可以在数据包的DATA部分寻找HEX。

有没有人知道我怎么能这样做?

目前我正在使用捕获过滤器,如:

port 389 && tcp[13] == 24

和显示过滤器如:

ldap.bindRequest_element && ldap.messageID==1

另一个问题是,这样做我无法找到一个可以删除用户名的脚本,因此我可以通知所有可能受到攻击的用户更改他们的PWD。

提前致谢

1 个答案:

答案 0 :(得分:0)

我找到了一种方法来做到这一点。 对于那些仍然很好奇或需要类似东西的人,我使用了以下内容:

pom.xml

这检查数据包的数据部分,因为一些字节总是在相同的位置,并且对于带有消息ID 1的ldap绑定请求都是相同的,我使用它来构建过滤器。

干杯。