Analisi dei pacchetti del traffico IRC

1

Ho esaminato l'analisi del traffico malware esercizi e parte il traffico malevolo rilevato è il traffico IRC su una porta non standard 443. Viene rilevato dalla regola ET Snort sid: 2000348 ; rev: 15

Il contenuto della regola è

"JOIN "; nocase; depth:5; pcre:"/&|#|+|!/R"

Come troverei questo comando IRC JOIN se dovessi analizzare il pcap usando Wireshark? C'è un modo per cercare l'intero pcap per la stringa "JOIN"? Wireshark supporta l'uso di espressioni regolari come sopra la regola Snort?

    
posta Heisenberg 22.02.2018 - 00:53
fonte

1 risposta

1

Una soluzione potrebbe essere quella di utilizzare un'utilità come ngrep (http://ngrep.sourceforge.net/usage.html) e passa il file .pcap con un'espressione regolare.

EX: ngrep -q -I file.pcap|grep -i user

Un esempio di questo può essere trovato sul web QUI

Snippet da trustwave.com

5) Search for text strings using ngrep

This is useful to look for any specific string or regex you want e.g look for "password", "card","username" etc....This will normally find FTP, HTTP, or POP passwords as examples. Although this is a simple example, ngrep can be used for complex regex's.

ngrep -q -I file.pcap|grep -i user

e.g

..........< TRUNCATED>..........

en" id="secure_username" name="username" value="" />......

..........< TRUNCATED>..........

6) Find emails using ngrep ...

Che espressione regolare da usare: Vorrei incoraggiare ad imparare come creare espressioni regolari se non lo hai già visto che sono molto utili. (Non testato): ~JOIN

EDIT: Se si deve usare wireshark e non ngrep, credo che wireshark usi espressioni regolari in stile perl

    
risposta data 22.02.2018 - 02:49
fonte

Leggi altre domande sui tag