MS Network Monitor, Wireshark and Netscaler VPX, search for user or generic text

Posted on 20 dicembre 2016 di

0


Tramite Netscaler è possibile creare un file di trace tramite l’interfaccia grafica (System>Diagnostic>Start new Trace con l’opzione “Decrypted SSL packets (SSLPLAIN)” abilitata se avete traffico codificato da ricercare).

Questo file .cap è scaricabile e può essere dato in pasto a Wireshark per essere analizzato:  assicuratevi di avere l’ultima versione.

Basta poi aprirlo ed utilizzare i filtri disponibili ed il gioco è fatto.

Ad esempio se non si padroneggiano i filtri in modo magistrale ma si cerca un particolare evento legato ad un utente basterà cercarlo con il filtro:

frame contains “nomeutente”

Questo è utlile ad esempio se notiamo attività insolite sui nostri sistemi, per scovare un ip di provenienza che tenta di loggarsi con un utenza, fallendo: infatti senza questa procedura, quell’ip non lo trovereste sui vostri client poichè per loro l’ip di provenienza è quello del bilanciatore.

In altri casi dove invece basta andare sul server Windows a fare analisi dei pacchetti, potremmo fare la stessa cosa installando Microsoft Network Monitor  lanciando la traccia ed impostanto il filtro su: Description.contains(“nomeutente”)

Annunci
Posted in: networking, Security