¿Cómo podemos saber exactamente qué alerta de paquete se activó?
Por favor, hágame saber cómo puedo encontrar el paquete exacto. Entiendo que las direcciones IP son una indicación, pero en su mayoría hay demasiados paquetes en pcaps para una IP.
Si usa una versión reciente de Wireshark, tiene un post-disector Snort que sustituye el número de paquete en la parte fraccionaria de la marca de tiempo antes de que alimente cada paquete a Snort. Cuando se dispara una alerta, puede adjuntar la información de alerta al paquete correcto (que muestra la marca de tiempo correcta) en la lista de paquetes de Wireshark.