подробности за файла за заснемане на wireshark, как да намерите използвания инструмент

Имам файл за заснемане, за който искам да намеря определени подробности, използвах wireshark, за да отворя този файл за заснемане и се опитвам да разбера как да намеря името на инструмента, използван от нападателя. има ли някакви индикации или неща, които мога да търся от този файл за улавяне, които ме уведомяват.


file wireshark capture
person Warz    schedule 09.03.2011    source източник

Отговори (2)


arrow_upward
0
arrow_downward

С wireshark научавате повече за метода, по който са ви атакували (т.е. ping flooding или spanning tree атаки) срещу използването на програма като cain или някакъв Security Suite. Ако искате да намерите инструмента, предлагам да намерите инструмент и да тествате атаката, която смятате, че са използвали, и да сравните пакетния трафик.

person Jim    schedule 09.03.2011
comment
Благодаря за отговора, напоследък опитвам някои инструменти за сканиране. - person Warz; 09.03.2011
comment
Доколкото ми е известно и може да греша, Wireshark сканира пакети, което е на различен слой от приложението. Ако искате да гледате какви приложения използват хората, трябва да сте в една и съща мрежа и или рутерът трябва да има възможност да наблюдава това, или инсталирате софтуер за шпиониране/мониторинг, за да наблюдавате дейности. - person Jim; 09.03.2011
comment
ако имате тестов файл за заснемане и търсите всички отворени портове, след като отворите този файл. знаете ли конкретния филтър, който би дал тези резултати. Досега имам tcp.flags.syn ==1 && tcp.flags.ack == 1, но не знам какво предполагам да търся от този голям резултат - person Warz; 09.03.2011

arrow_upward
0
arrow_downward

Може да имате повече късмет, като използвате Snort за анализ на файла за улавяне на пакети. В допълнение към инструмента за подслушване, той предоставя откриване на проникване и анализ на сигнатурата и е по-насочен към типа анализ, който търсите, докато Wireshark е предимно (много добър) чист мрежов снифър.

Не съм го използвал в това си качество (само като снифър), но знам, че ви позволява да анализирате минали заснемания и от повторното преглед на документите току-що изглежда, че вероятно ще направи това, което искате.

Друг е въпросът дали може да идентифицира истински 0-дневни експлойти, това зависи от това колко бързо те актуализират/пускат своите подписи, но повечето деца на скриптове така или иначе не използват 0-day.

ETA: Изглежда, че в днешно време изискват акаунт, но също така изглежда, че поне за нормалните акаунти те са безплатни. Те също така изглежда предлагат абонаментна услуга, но се надяваме файловете с подписи на регистрирани потребители да са достатъчно актуални, за да идентифицират атаката.

person Sdaz MacSkibbons    schedule 09.03.2011