Tráfico normal separado [cerrado]

1

¿Existe alguna herramienta o método para separar el tráfico normal y el tráfico malicioso de pcap? Por ejemplo: si se detecta tráfico malicioso con snort, necesito almacenar esos paquetes. Solo si hay tráfico malicioso. Gracias por responder.

    
pregunta user30276 28.11.2014 - 02:43
fuente

2 respuestas

0

En lugar de que Snort escuche en una interfaz, puedes darle una captura de paquetes para leer. Snort leerá y analizará los paquetes como si se hubieran desconectado.

Consulte enlace

Esto te ayudaría a comprender los paquetes que Snort detectó.

    
respondido por el John Deters 28.11.2014 - 05:32
fuente
0

Entiendo que este es un intento de establecer una línea de base de su red, pero para hacerlo, debe identificar las aplicaciones y los protocolos de los que depende su empresa o agencia. Cataloga esos; Identificar los servidores, puertos y rangos de clientes aceptables. Si no puede identificar de qué depende la misión y qué está autorizado para acceder a esos recursos, entonces el análisis automatizado de paquetes será, en el mejor de los casos, una suposición basada en una noción de normalidad que no tiene nada que ver con su organización.

    
respondido por el DTK 28.11.2014 - 05:42
fuente

Lea otras preguntas en las etiquetas