Come sapere per quale allarme di snort packet è stato attivato

0

Come possiamo sapere esattamente quale allarme di pacchetto è stato attivato?

Per favore fatemi sapere come posso trovare il pacchetto esatto. Capisco che gli indirizzi IP sono un'indicazione, ma ci sono per lo più troppi pacchetti in pcaps per un IP.

    
posta blackfyre 23.08.2016 - 17:43
fonte

1 risposta

1

Se si utilizza una build recente di Wireshark, ha un post-dissettore Snort che sostituisce il numero del pacchetto nella parte frazionaria del timestamp prima di inviare ogni pacchetto a Snort. Quando viene generato un avviso, può quindi allegare le informazioni di avviso al pacchetto corretto (che mostra il timestamp corretto) nell'elenco dei pacchetti Wireshark.

    
risposta data 20.04.2017 - 19:18
fonte

Leggi altre domande sui tag