сведения о файле захвата wireshark, как найти используемый инструмент

У меня есть файл захвата, о котором я хочу найти определенные сведения. Я использовал wireshark, чтобы открыть этот файл захвата, и я пытаюсь выяснить, как найти название инструмента, который использовал злоумышленник. есть ли какие-либо признаки или вещи, которые я мог бы найти в этом файле захвата, который позволяет мне знать.


file wireshark capture
person Warz    schedule 09.03.2011    source источник

Ответы (2)


arrow_upward
0
arrow_downward

С помощью wireshark вы узнаете больше о методе, с помощью которого они атаковали вас (т. е. с помощью ping-флудинга или атак по связующему дереву), а не об использовании такой программы, как cain или какой-либо Security Suite. Если вы хотите найти инструмент, я предлагаю найти инструмент и протестировать атаку, которую, по вашему мнению, они использовали, и сравнить пакетный трафик.

person Jim    schedule 09.03.2011
comment
Спасибо за ваш ответ, в последнее время я пробовал некоторые инструменты сканирования. - person Warz; 09.03.2011
comment
Насколько мне известно, и я могу ошибаться, но Wireshark сканирует пакеты, которые находятся на другом уровне, чем приложение. Если вы хотите следить за тем, какие приложения используют люди, вам нужно находиться в той же сети, и либо маршрутизатор должен иметь возможность отслеживать это, либо вы устанавливаете шпионское ПО/программное обеспечение для мониторинга, чтобы следить за действиями. - person Jim; 09.03.2011
comment
если у вас есть тестовый файл захвата и вы ищете все открытые порты после открытия этого файла. знаете ли вы конкретный фильтр, который даст эти результаты. До сих пор я получил tcp.flags.syn == 1 && tcp.flags.ack == 1, но я не знаю, что я должен искать в этом большом результате. - person Warz; 09.03.2011

arrow_upward
0
arrow_downward

Возможно, вам повезет больше, если вы воспользуетесь Snort для анализа файла захвата пакетов. В дополнение к инструменту сниффинга, он обеспечивает обнаружение вторжений и анализ сигнатур и больше ориентирован на тип анализа, который вы ищете, тогда как Wireshark в первую очередь (очень хороший) чистый сетевой сниффер.

Я не использовал его в этом качестве (только как сниффер), но я знаю, что он позволяет вам анализировать прошлые захваты, и, судя по повторному просмотру документов, он, скорее всего, сделает то, что вы хотите сделать.

Другое дело, сможет ли он идентифицировать настоящие 0-day эксплойты, это зависит от того, как быстро они обновляют/выпускают свои сигнатуры, но большинство детей-скриптов все равно не используют 0-day.

ETA: похоже, что в настоящее время для них требуется учетная запись, но также кажется, что, по крайней мере, для обычных учетных записей они бесплатны. Похоже, они также предлагают услугу по подписке, но мы надеемся, что файлы зарегистрированных подписей пользователей достаточно актуальны, чтобы идентифицировать атаку.

person Sdaz MacSkibbons    schedule 09.03.2011