我试图debuggingNTLM身份validation问题。 我的想法之一是捕捉networkingstream量,看看它。 在我的情况下, NTLM身份validation正在通过非stardart端口(6901)。 当然,Wireshark无法检测到它。 但在Decode as 列表中没有 NTLM ( NTLMSSP )协议Decode as菜单。 我不能这样做。
有没有办法让Wireshark解码stream量为NTLM ?
或者我需要修改捕获的stream量,例如更改TCP端口或以其他方式?
我不太确定NTLMSSP实际使用哪个端口,但是您可以尝试使用这个Lua脚本将NTLMSSPparsing器注册到您的自定义端口。
local tcp_port_table = DissectorTable.get("tcp.port") local tcp_ntlmssp_dis = tcp_port_table:get_dissector(445) tcp_port_table:add(6901, tcp_ntlmssp_dis)
保存到一个文件 – 例如ntlmssp.lua – 告诉Wireshark加载它,例如
$ wireshark -X lua_script:ntlmssp.lua -r trace.pcap
您可能必须将端口445更改为真正需要的端口,或通过添加其他端口(如tcp_port_table:get_dissector(4711)注册其他端口。 如果您还需要UDP,请对UDP执行相同的操作。