Como decodificar o tráfego como protocolo NTLM no Wireshark?

2

Estou tentando depurar o problema de autenticação NTLM . Uma das minhas ideias era capturar o tráfego da rede e procurar por isso. No meu caso, a NTLM authentication está passando pela porta não stardart (6901). Claro, o Wireshark não consegue detectá-lo. Mas não há nenhum NTLM ( NTLMSSP ) protocolo na lista no menu Decode as . Eu não posso fazer como aqui .
Existe uma maneira de pedir ao Wireshark para decodificar o tráfego como NTLM ?
Ou preciso modificar o tráfego capturado, por exemplo, alterar TCP port ou de alguma forma outra?

    
por Jury 21.05.2015 / 14:03

1 resposta

0

Não sei ao certo quais portas o NTLMSSP realmente usa, mas você pode tentar este script Lua para registrar os dissectores NTLMSSP em sua porta personalizada.

local tcp_port_table = DissectorTable.get("tcp.port")
local tcp_ntlmssp_dis = tcp_port_table:get_dissector(445)
tcp_port_table:add(6901, tcp_ntlmssp_dis)

Salve isso em um arquivo - por exemplo, ntlmssp.lua - e diga ao Wireshark para carregá-lo, por exemplo,

$ wireshark -X lua_script:ntlmssp.lua -r trace.pcap

Você pode ter que alterar a porta 445 para o que é realmente necessário ou registrar portas adicionais adicionando linhas adicionais como tcp_port_table:get_dissector(4711) . Se você também precisar do UDP, faça o mesmo para o UDP.

    
por 20.06.2015 / 10:16