Separa il traffico normale [chiuso]

1

C'è qualche strumento o metodo per separare il traffico normale e il traffico malevolo da pcap? Ad esempio: se il traffico dannoso rilevato con snort ho bisogno di memorizzare quei pacchetti. Solo se il traffico dannoso. Grazie per la risposta.

    
posta user30276 28.11.2014 - 02:43
fonte

2 risposte

0

Invece di ascoltare Snort su un'interfaccia, puoi dargli un'acquisizione di pacchetti da leggere. Snort leggerà e analizzerà i pacchetti come se uscissero dal filo.

Vedi link

Questo ti aiuterà a comprendere i pacchetti rilevati da Snort.

    
risposta data 28.11.2014 - 05:32
fonte
0

Capisco che si tratti di un tentativo di baseline della rete, ma per fare ciò, è necessario identificare le applicazioni e i protocolli da cui dipendono la propria azienda o agenzia. Catalogo quelli; identificare i server, le porte e gli intervalli accettabili dei client. Se non riesci a identificare da cosa dipende la missione e cosa è autorizzato ad accedere a tali risorse, l'analisi automatica dei pacchetti sarà al meglio un'ipotesi basata su una nozione di normalità che non ha nulla a che fare con la tua organizzazione.

    
risposta data 28.11.2014 - 05:42
fonte

Leggi altre domande sui tag