У меня есть файл захвата, о котором я хочу найти определенные сведения. Я использовал wireshark, чтобы открыть этот файл захвата, и я пытаюсь выяснить, как найти название инструмента, который использовал злоумышленник. есть ли какие-либо признаки или вещи, которые я мог бы найти в этом файле захвата, который позволяет мне знать.
сведения о файле захвата wireshark, как найти используемый инструмент
Ответы (2)
С помощью wireshark вы узнаете больше о методе, с помощью которого они атаковали вас (т. е. с помощью ping-флудинга или атак по связующему дереву), а не об использовании такой программы, как cain или какой-либо Security Suite. Если вы хотите найти инструмент, я предлагаю найти инструмент и протестировать атаку, которую, по вашему мнению, они использовали, и сравнить пакетный трафик.
Возможно, вам повезет больше, если вы воспользуетесь Snort для анализа файла захвата пакетов. В дополнение к инструменту сниффинга, он обеспечивает обнаружение вторжений и анализ сигнатур и больше ориентирован на тип анализа, который вы ищете, тогда как Wireshark в первую очередь (очень хороший) чистый сетевой сниффер.
Я не использовал его в этом качестве (только как сниффер), но я знаю, что он позволяет вам анализировать прошлые захваты, и, судя по повторному просмотру документов, он, скорее всего, сделает то, что вы хотите сделать.
Другое дело, сможет ли он идентифицировать настоящие 0-day эксплойты, это зависит от того, как быстро они обновляют/выпускают свои сигнатуры, но большинство детей-скриптов все равно не используют 0-day.
ETA: похоже, что в настоящее время для них требуется учетная запись, но также кажется, что, по крайней мере, для обычных учетных записей они бесплатны. Похоже, они также предлагают услугу по подписке, но мы надеемся, что файлы зарегистрированных подписей пользователей достаточно актуальны, чтобы идентифицировать атаку.