对于像我这样的数据包极客来说,每年的Wireshark会议SharkFest是一个与其他数据包极客见面和交流的地方。然而,由于各种原因,我以前没能参加鲨鱼节。因此,当我的朋友Jasper Bongertz提到将在欧洲举行一次SharkFest会议时,我觉得这是一个我不能错过的机会。
关于SharkFest Europe (#sf16eu),我非常喜欢的一件事是有独特的机会与其他与会者讨论网络流量分析和协议规范等主题。这种讨论的一个例子是一个有趣的早餐对话,关于TCP段被SACK化时TCP接收窗口大小是否会受到影响。
当核心开发者聚集在一起时
许多Wireshark核心开发人员都参加了Sharkfest活动,所以这是一个绝佳的机会来讨论你在Wireshark中可能遇到的功能请求或bug。我抓住机会与许多核心开发者交谈,我惊讶于所有开发者的友好和谦逊。我有一种感觉,这种氛围是由杰拉尔德·库姆斯。与Wireshark开发人员交谈的直接结果是,我能够读取数据包PacketCache直接从Wireshark获取。
当然,在欧洲鲨鱼节上也有一些很棒的演讲。其中许多谈话都被录了下来,现在可以在鲨鱼节16年欧洲回顾页面上找到。
我最喜欢的演讲之一是Jasper的题为“处理干草堆:如何处理大量数据包”的演讲,他在演讲中提供了一些关于处理大型PCAP数据集以发现网络问题或入侵的思考。关于如何处理分析包含数百gb捕获流量的PCAP数据集的任务,Jasper给出了许多很好的建议。
有一个特别的智慧碧玉共享“我从不在捕捉过程中过滤端口。[…]捕捉一切,稍后再整理。”这完全符合我为取证目的执行网络嗅探的方式。我甚至有一个没有捕捉过滤器的嗅探流量的名字;我称之为“口袋妖怪模式”的嗅探,这当然是指“抓住所有人”的口号。
我也很喜欢Eddi Blenkers的演讲“Windows文件共享揭秘:SMB的发现!”Eddi带体育博彩平台推荐回顾了早期的NetBIOS和“黄电缆”,也就是粗以太网(10BASE5)。
Eddi的演讲对我来说特别有趣,因为他深入探讨了NetBIOS、SMB和SMB2协议。艾迪提到的几件事对我来说是新的,尽管我自己花了很多时间读取协议规范为所有这些协议实现解析器。
事实上,我和Eddie从不同的角度和不同的目的来接触这些协议,这很可能是体育博彩平台推荐都深入研究这些协议不同方面的原因。在执行网络取证时,我通常会分析SMB流量,以便找出攻击者在受损的网络上访问了哪些命令和资源,而Eddi提出的工作则侧重于发现Windows文件共享环境中的瓶颈和性能问题。
对于主要从事事件响应和网络取证工作的我来说,与我通常在安全会议上遇到的安全研究人员和黑客相比,与所有这些网络性能故障排除方面的专家会面是一种令人耳目一新的变化。尽管如此,有许多鲨鱼节的参观者在安全领域和执法部门工作,所以我也感到很自在。
有趣的是,在这个不同专业和行业的巨大组合中,所有参加SharkFest Europe的人都为了共同的兴趣走到一起;以便更好地了解如何分析捕获的网络流量。
Erik Hjelmvik是网络取证分析工具(NFAT) NetworkMiner的开发者,也是体育博彩平台的专家角和Tap into Technology博客的常客。请阅读埃里克的详细报道。照片:加兰的克里斯·比哈里与埃里克在Sharfest '16欧洲