全部
在我们的环境中,我们有几台服务器仍在使用ldap进行身份验证,我需要过滤ldap请求8小时,以便了解我们可能会暴露多少个不同的帐户。
问题是我无法创建太大的捕获。 (举个例子,使用过滤器来ldap端口并标记TCP请求的标志,在我的捕获达到100MB之前我几乎无法捕获3分钟。)
我想知道是否有办法构建一个捕获过滤器,可以在数据包的DATA部分寻找HEX。
有没有人知道我怎么能这样做?
目前我正在使用捕获过滤器,如:
port 389 && tcp[13] == 24
和显示过滤器如:
ldap.bindRequest_element && ldap.messageID==1
另一个问题是,这样做我无法找到一个可以删除用户名的脚本,因此我可以通知所有可能受到攻击的用户更改他们的PWD。
提前致谢
答案 0 :(得分:0)
我找到了一种方法来做到这一点。 对于那些仍然很好奇或需要类似东西的人,我使用了以下内容:
pom.xml这检查数据包的数据部分,因为一些字节总是在相同的位置,并且对于带有消息ID 1的ldap绑定请求都是相同的,我使用它来构建过滤器。
干杯。