• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Помощь с анализом пакетов wareshark

Suvandaron

Member
01.09.2021
18
0
BIT
0
Нужна помощь с анализом пакетов wareshark. Я не специалист, но хочу разобраться, одной не справиться. К кому можно обратиться с этим вопросом?
 

migu

Grey Team
14.01.2020
224
60
BIT
15
добрый день. У wareshark в целом интуитивный интерфейс. сначала выбираете устройство с которого снимать трафик, а дальше нажимаете "capture" и происходит захват данных. можно смотреть кадры и пакеты, которые принимает сетевое устройство.
вы бы конкретнее задали вопрос, что хотите найти или что смущает в трафике, было бы проще ответить
 

Suvandaron

Member
01.09.2021
18
0
BIT
0
добрый день. У wareshark в целом интуитивный интерфейс. сначала выбираете устройство с которого снимать трафик, а дальше нажимаете "capture" и происходит захват данных. можно смотреть кадры и пакеты, которые принимает сетевое устройство.
вы бы конкретнее задали вопрос, что хотите найти или что смущает в трафике, было бы проще ответить
В целом я умею пользоваться варешарк, то есть захватывать пакеты и читать общую картину. Но мне нужен специалист, который бы подробно все разъяснил, проконсультировал.
 

migu

Grey Team
14.01.2020
224
60
BIT
15
Вы хотите чтобы вам начали разжевывать. вы задайте, например 5 вопросов предметно.
 

Suvandaron

Member
01.09.2021
18
0
BIT
0
Банально не хватает времени. готова заплатить за час подробной консультации

Нужно
  • Обнаружение аномального поведения, которое может указывать на вредоносное ПО
  • Поиск необычных доменов или конечных IP
  • Графики ввода-вывода для обнаружения постоянных соединений (маячков) с управляющими серверами
  • Отфильтровка «нормальных» данных и выявление необычных
  • Извлечение больших DNS-ответов и прочих аномалий, которые могут указывать на вредоносное ПО
 

Suvandaron

Member
01.09.2021
18
0
BIT
0
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
 

Suvandaron

Member
01.09.2021
18
0
BIT
0
Беспокоят запросы, которые запостила выше, также огромное количество запросов Who has в wireshark.
 

Trixxx

Grey Team
04.04.2020
199
155
BIT
41
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Это бродкаст, хрен знает кто его рассылает, надо проследить по модели устройства src адреса и тд. У меня например в одной организации было настроено куча принтеров по ай пи, принтеров этих сто лет как не было и все устройства беспорядочно флудили в поисках.
Who has пакеты может рассылать сам роутер, для обзванивания сервисов/устройств со статикой например, но может быть и попыткой сканирования вашей локалки из вне. Отрубите интернет и проверьте наличие who has запросов. Если они пропадут, вывод очевиден (почти)
 
Последнее редактирование:

Suvandaron

Member
01.09.2021
18
0
BIT
0
Source: IntelCor_xx:xx:xx (здесь мак адрес)
Frame 7: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface \Device\NPF_{5D7021FB-62BB-4A48-B4C4-7AA8D4014E09}, id 0
Ethernet II, Src: IntelCor_xx:xx:xx (здесь мак адрес),
Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
Вот таких запросов около 5000 за минуту

Что выяснила у меня отдельно стоящий девайс , узел гибридный, netbios отключен.

H-узел (гибридный): объединяет P-узел и B-узел, но по умолчанию функционирует как P-узел. Если H-узел не может разрешить имя с сервером имен NetBIOS, то используется широковещание имен. ... для поиска wins домена

Еще что увидела - 4160 92.186509 x.x.x.x ( источник) 224.0.0.251 (место назначения) MDNS 120 Standard query 0x0003 SRV ceabc2d6-a13d-4651-b676-410b9bbbca91._device-info._tcp.local, "QM" question

Что это?? я не специалист совсем в компьютерной безопасности и в сетях, но кажется, что это не совсем нормальная картина.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!