Имам файл за заснемане, за който искам да намеря определени подробности, използвах wireshark, за да отворя този файл за заснемане и се опитвам да разбера как да намеря името на инструмента, използван от нападателя. има ли някакви индикации или неща, които мога да търся от този файл за улавяне, които ме уведомяват.
подробности за файла за заснемане на wireshark, как да намерите използвания инструмент
Отговори (2)
С wireshark научавате повече за метода, по който са ви атакували (т.е. ping flooding или spanning tree атаки) срещу използването на програма като cain или някакъв Security Suite. Ако искате да намерите инструмента, предлагам да намерите инструмент и да тествате атаката, която смятате, че са използвали, и да сравните пакетния трафик.
Може да имате повече късмет, като използвате Snort за анализ на файла за улавяне на пакети. В допълнение към инструмента за подслушване, той предоставя откриване на проникване и анализ на сигнатурата и е по-насочен към типа анализ, който търсите, докато Wireshark е предимно (много добър) чист мрежов снифър.
Не съм го използвал в това си качество (само като снифър), но знам, че ви позволява да анализирате минали заснемания и от повторното преглед на документите току-що изглежда, че вероятно ще направи това, което искате.
Друг е въпросът дали може да идентифицира истински 0-дневни експлойти, това зависи от това колко бързо те актуализират/пускат своите подписи, но повечето деца на скриптове така или иначе не използват 0-day.
ETA: Изглежда, че в днешно време изискват акаунт, но също така изглежда, че поне за нормалните акаунти те са безплатни. Те също така изглежда предлагат абонаментна услуга, но се надяваме файловете с подписи на регистрирани потребители да са достатъчно актуални, за да идентифицират атаката.