对于像我这样的包极客来说,每年的Wireshark conference SharkFest是与其他包极客见面并建立联系的地方。然而,由于种种原因,我之前没能参加鲨鱼节。所以,当我的朋友贾斯珀·邦格茨(Jasper Bongertz)提到将在欧洲举办鲨鱼节(SharkFest)会议时,我觉得这是一个不能错过的机会。
我非常喜欢SharkFest Europe (#sf16eu)的一件事是,它提供了与其他与会者讨论网络流量分析和协议规范等主题的独特机会。这样讨论的一个例子很有趣早餐的谈话当TCP段被解雇时,是否会影响TCP接收窗口的大小。
当核心开发者聚集在一起时……
许多Wireshark核心开发人员被飞行到Sharkfest事件,因此这是一个讨论您可能在Wireshark中遇到的功能请求或错误的金色机会。我抓住了与许多核心开发人员交谈的机会,我惊讶于所有开发商的友好和谦卑。我感觉到这种伟大的氛围是由基调设置的杰拉尔德梳子。作为与Wireshark开发人员交谈的直接结果,我能够读取数据包PacketCache直接从Wireshark。
当然,在欧洲鲨鱼节上也有一些很棒的演讲。许多这些谈话都被录了下来,现在可以在网站上找到SharkFest的16欧洲回顾页。
我最喜欢的演讲之一是Jasper的演讲,题目是解决大海捞针:如何处理大量数据包“在那里,他提供了一些反映,从工作与大型PCAP数据集,以发现网络问题或入侵。关于如何分析包含几百gb捕获流量的PCAP数据集,Jasper给出了很多很好的建议。
一个特别的智慧是碧玉共享对于观众来说,“我从来没有在捕获过程中过滤过端口。捕捉一切,以后再解决”。这完全符合我为取证目的而执行网络嗅探的方式。我甚至有一个名字来嗅探没有捕获过滤器的流量;我将其称为“Pokemon mode”(游戏邦注:也就是“将所有人都抓起来”的口号)的嗅探。
我也喜欢Eddi Blenkers的谈话“Windows Filesharing De-Mystified:SMB与Eureka!效果“Eddi带我们去旅行记忆道,重新审视NetBIOS的早期和”黄色电缆“A.K.A.厚以太网(10Base5)。
我对Eddi的演讲特别感兴趣,因为他深入研究了NetBIOS、SMB和SMB2协议。Eddi提到的一些事情对我来说是全新的,尽管我自己也花了很多时间阅读协议规范并为所有这些协议实现解析器。
我和Eddie从不同的角度和不同的目的来研究这些协议,这很可能是我们深入研究这些协议的不同方面的原因。在执行网络取证时,我通常会分析SMB流量,以便找出攻击者在受损的网络上访问了哪些命令和资源,而Eddi提供的工作主要是在Windows文件共享环境中查找瓶颈和性能问题。乐动体育 南安普顿合作伙伴
对于我这个主要从事事件响应和网络取证工作的人来说,与我经常在安全会议上遇到的安全研究人员和黑客相比,与网络性能故障排除方面的所有专家见面是一个令人耳目一新的群体。然而,有很多鲨鱼节的游客在安全领域工作,也在执法部门工作,所以我也觉得很自在。
有趣的是,在这个不同专业和行业的伟大组合中,所有参加欧洲鲨鱼节(SharkFest Europe)的人都为了一个共同的兴趣聚在一起;更好地学习如何分析捕获的网络流量。
Erik Hjelmvik是NetworkMiner它是一个网络取证分析工具(NFAT),也是Garland Technology的专家角和技术博客的常客。乐动体育菠菜
阅读更多埃里克。
图片:Garland的Chris Bihary和Erik在Sharfest '16欧洲