我正在学习自己使用 snort,但我不知道是否能很好地从文件生成警报。 我在 local.rules 中制定的规则是: alert icmp any any -> any any (msg:"Testing ICMP"; sid:1000001;) alert tcp any any -> any any (msg:"Testing TCP"; sid:1000002;) alert udp any any -> any any (msg:"Testing UDP"; sid:1000003;) 我使用的命令是这样的: snort -c ...
我的 PCAP 中有一个 JPEG GET 请求,如下所示,但当我导出它时,它不是一个有效的 JPEG 文件 对于我做错的事情有什么建议吗? ...
我最近买了一台 ALFA AWUSO36EAC,我想在 Mac OS 上使用它进行数据包注入和监控模式。有人告诉我,这是一个询问网卡相关问题的更好的页面。我已经安装了驱动程序,它可以很好地连接到 wifi。但是我无法让它进入监控模式。我使用了 pcap 库。如果相关的话,这是我的 c++ 代码: char errbuf[PCAP_ERRBUF_SIZE]; char dev[] = "en7"; pcap_t *handler=pcap_create(dev, errbuf); if (handler == NULL){ ...
我正在使用 tshark,我需要找出 10,0000 个数据包中有多少个包含HTTP URI 因此,我编写了如下代码行: tshark -r tsharklab.pcap -Y "http.request.uri" 但是,当它运行时,它会提供所有这些信息,而无需重新格式化数据包号。 点击此处查看屏幕截图 我需要实现的是计算过滤完成后返回的数据包的数量。 任何帮助是极大的赞赏 ...
NAT 后面的两台 Linux 机器(在 vSphere 上运行的 Ubuntu 20.04 和 18.04.4)无法完成与https://microsoft.com和的 TLS 握手https://mcr.microsoft.com,但它们能够连接到https://docs.microsoft.com和 其他网站。我自己管理防火墙和 NAT(虚拟 VyOS 路由器)。同一 NAT 后面的另一个系统可以访问https://microsoft.com。我已经尝试更新所有软件包,并尝试过curl --resolve不同的 Microsoft IP。 我在尝试使...
我在 Linux 上使用 libpcap 捕获来自无线适配器 (2.4 GHz) 的网络流量。它pcap_setdirection似乎允许您设置捕获设备,以便它忽略来自该设备的流量,但当我尝试将其设置为仅返回传入流量时,我收到错误。 我的 libpcap 版本似乎是 1.9.1,因此应该支持定向捕获。我知道有线以太网有传输和接收线路,可用于区分传出数据和传入数据,但我不确定 WiFi 适配器是否有办法确定流量来自哪个设备(自身或其他设备)。 使用 libpcap 限制流量方向是否有任何特殊的硬件或内核要求(无 WiFi、内核设置、适配器支持等)? ...
我有两个 pcap 文件,我想找出它们之间的差异。并将差异存储在另一个 pcap 文件中。 我尝试了 diff 命令,但它不适合二进制文件,我也使用了 pcap_diff 工具,但结果不一致,我的意思是 pcap1 大小 - pcap2 大小 # diff pcap 大小。 请问有什么帮助吗? ...
我正在使用 tcpdump 查看一些 pcap 文件,但在输出中,我看到以下错误,而不是获取标头信息: packet exceeded snapshot 我用 Google 搜索了一下,但没有找到关于这个错误的含义以及导致这个错误的原因的任何详细解释。 ...
我的问题是,当网络具有足够的链路带宽时,为什么 TCP 流会重新传输。为了找到原因,我使用了 wireshark。我在主机端 (10.0.0.1) 捕获了以下内容 25434 50.968633785 10.0.0.1 10.0.0.2 TCP 33370 42848 → 50004 [ACK] Seq=14063654 Ack=1 Win=29696 Len=33304 TSval=290016 TSecr=290011 25435 50.968637512 10.0.0.1 10.0.0.2 TCP 31274 42848 → 50004 [PSH...
我想捕获流量或路由器并通过tzcp或其他 udp 协议将其发送到远程主机。 如何通过 UDP 传输捕获的数据包?tcpdump 或其他工具 用例: Linux 机器无需白色 IP 即可连接到互联网。连接到感兴趣的网络。 我运行带有参数“arp 或 icmp”的工具,并将包含此数据包的 udp 数据包传输到远程主机。 在远程主机上,scapy我可以分析远程流量。 ...
我正在执行一项任务,我的安全团队要求我提供文件夹 /var/log/snort 下的 pcap 文件。他们从警报文件中获取了源 IPADDRESS,他们需要对该源 IP 地址的 pcap 文件(即 snort.log.xxxxxxx)进行更多分析。 警报文件和 snort.log.xxxxx 文件位于同一文件夹中。如何向他们提供准确的 snort.log.xxxxx 文件以供分析?请提供一些命令或任何技术来执行此操作。我对这个领域很陌生,我正在处理 snort 正在转储日志的 Linux 机器(Centos 7)。 ...
我正在开发一个程序,其中 .pcap 文件将作为输入。但是,当我在终端中运行 tcpdump -w someFile.pcap 时,.pcap 文件会捕获额外的数据,例如时间戳、微秒、帧长度等。 这些额外的数据妨碍了我的程序,我想知道是否有办法让 tcpdump 只捕获原始数据包而不捕获其他内容。 例如,.pcap 中的第一个数据字节应该是以太网报头的“目标地址”,而不是某个时间戳。 谢谢! ...
我正在尝试使用 Linux 捕获一些以太网帧。其中一些数据包/帧无效且包含损坏的数据。 例如,以太网帧包含类型 0x0800,即 IPv4,但后续数据仅包含随机字节。此外,源和目标 MAC 是未知且不可预测的。 为了接收这些帧,我编写了一个 C 程序,最初使用原始套接字。这并没有像预期的那样工作,所以我改用 libpcap。 我以混杂模式打开以太网设备以接收所有帧并防止 MAC 端过滤。这很有效。我可以接收具有任何目标 MAC 地址的帧。 现在我们来谈谈大问题: 我发送一个以太网帧,其目标和源 MAC 为随机数。类型字段为 0x1234,数据只有几...
我正在使用以下命令从 Wireshark 转储生成 XML 格式的输出: tshark -r my_wireshark_data.pcap -T pdml > my_wireshark_data.xml 查看生成的 XML 文件,我无法弄清楚位置和尺寸属性,这些属性随处可见。有人能解释一下吗,或者提供文档链接? 输出片段: <pdml version="0" creator="wireshark/1.10.14" time="Mon Jun 20 15:27:45 2016" capture_file="my_wireshark_dat...