C'è qualche strumento o metodo per separare il traffico normale e il traffico malevolo da pcap? Ad esempio: se il traffico dannoso rilevato con snort ho bisogno di memorizzare quei pacchetti. Solo se il traffico dannoso. Grazie per la risposta.
Capisco che si tratti di un tentativo di baseline della rete, ma per fare ciò, è necessario identificare le applicazioni e i protocolli da cui dipendono la propria azienda o agenzia. Catalogo quelli; identificare i server, le porte e gli intervalli accettabili dei client. Se non riesci a identificare da cosa dipende la missione e cosa è autorizzato ad accedere a tali risorse, l'analisi automatica dei pacchetti sarà al meglio un'ipotesi basata su una nozione di normalità che non ha nulla a che fare con la tua organizzazione.
Leggi altre domande sui tag forensics security-theater snort