Нужна помощь с анализом пакетов wareshark. Я не специалист, но хочу разобраться, одной не справиться. К кому можно обратиться с этим вопросом?
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
Помощь с анализом пакетов wareshark
- Автор темы Suvandaron
- Дата начала
добрый день. У wareshark в целом интуитивный интерфейс. сначала выбираете устройство с которого снимать трафик, а дальше нажимаете "capture" и происходит захват данных. можно смотреть кадры и пакеты, которые принимает сетевое устройство.
вы бы конкретнее задали вопрос, что хотите найти или что смущает в трафике, было бы проще ответить
вы бы конкретнее задали вопрос, что хотите найти или что смущает в трафике, было бы проще ответить
В целом я умею пользоваться варешарк, то есть захватывать пакеты и читать общую картину. Но мне нужен специалист, который бы подробно все разъяснил, проконсультировал.
Посмотри на форуме, ранее уже объясняли многие моменты. Вот например недавно Wireshark не ловит пакеты BitTorrent? https://codeby.net/threads/wireshark-ne-lovit-pakety-bittorrent.78969/
Там есть хорошие ссылки, где все объяснено доходчиво.
Там есть хорошие ссылки, где все объяснено доходчиво.
Банально не хватает времени. готова заплатить за час подробной консультации
Нужно
Нужно
- Обнаружение аномального поведения, которое может указывать на вредоносное ПО
- Поиск необычных доменов или конечных IP
- Графики ввода-вывода для обнаружения постоянных соединений (маячков) с управляющими серверами
- Отфильтровка «нормальных» данных и выявление необычных
- Извлечение больших DNS-ответов и прочих аномалий, которые могут указывать на вредоносное ПО
Это бродкаст, хрен знает кто его рассылает, надо проследить по модели устройства src адреса и тд. У меня например в одной организации было настроено куча принтеров по ай пи, принтеров этих сто лет как не было и все устройства беспорядочно флудили в поисках.
Who has пакеты может рассылать сам роутер, для обзванивания сервисов/устройств со статикой например, но может быть и попыткой сканирования вашей локалки из вне. Отрубите интернет и проверьте наличие who has запросов. Если они пропадут, вывод очевиден (почти)
Последнее редактирование:
Source: IntelCor_xx:xx:xx (здесь мак адрес)
Frame 7: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface \Device\NPF_{5D7021FB-62BB-4A48-B4C4-7AA8D4014E09}, id 0
Ethernet II, Src: IntelCor_xx:xx:xx (здесь мак адрес),
Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
Вот таких запросов около 5000 за минуту
Что выяснила у меня отдельно стоящий девайс , узел гибридный, netbios отключен.
H-узел (гибридный): объединяет P-узел и B-узел, но по умолчанию функционирует как P-узел. Если H-узел не может разрешить имя с сервером имен NetBIOS, то используется широковещание имен. ... для поиска wins домена
Еще что увидела - 4160 92.186509 x.x.x.x ( источник) 224.0.0.251 (место назначения) MDNS 120 Standard query 0x0003 SRV ceabc2d6-a13d-4651-b676-410b9bbbca91._device-info._tcp.local, "QM" question
Что это?? я не специалист совсем в компьютерной безопасности и в сетях, но кажется, что это не совсем нормальная картина.
Frame 7: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) on interface \Device\NPF_{5D7021FB-62BB-4A48-B4C4-7AA8D4014E09}, id 0
Ethernet II, Src: IntelCor_xx:xx:xx (здесь мак адрес),
Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
Вот таких запросов около 5000 за минуту
Что выяснила у меня отдельно стоящий девайс , узел гибридный, netbios отключен.
H-узел (гибридный): объединяет P-узел и B-узел, но по умолчанию функционирует как P-узел. Если H-узел не может разрешить имя с сервером имен NetBIOS, то используется широковещание имен. ... для поиска wins домена
Еще что увидела - 4160 92.186509 x.x.x.x ( источник) 224.0.0.251 (место назначения) MDNS 120 Standard query 0x0003 SRV ceabc2d6-a13d-4651-b676-410b9bbbca91._device-info._tcp.local, "QM" question
Что это?? я не специалист совсем в компьютерной безопасности и в сетях, но кажется, что это не совсем нормальная картина.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!