Ho un file pcap
e sto provando ad analizzarlo usando Snort
e Wireshark
.
Quando ho provato il comando, che avevo mostrato di seguito, in Ubuntu
mi sono stati forniti vari output come data, ora, host di origine, host di destinazione, protocollo e ce ne sono altri come TTL, TOS, ID , IpLen, DgmLen, Ack, Seq.
Snort -r myfile.pcap
La mia domanda è: cosa significano ciascuno di questi campi e quali minacce o attacchi possono essere eseguiti con quei campi?
TTL, TOS, ID, IpLen, DgmLen, Ack, Seq
Allego una parte dell'output Snort
del file pcap.
Devo scrivere una regola Snort
per rilevare gli attacchi? Qualsiasi aiuto sarebbe apprezzato.