我有一个捕获文件,我想找到某些细节,我使用wireshark打开这个捕获文件,我试图找出如何找到攻击者使用的工具的名称。我可以从这个捕获文件中找到任何迹象或事物让我知道。
答案 0 :(得分:0)
使用wireshark,您可以了解更多关于攻击您的方法(即ping泛滥或生成树攻击)与使用cain或某些Security Suite等程序。如果你想找到这个工具,我建议找一个工具来测试你认为他们使用的攻击,并比较数据包流量。
答案 1 :(得分:0)
使用Snort分析数据包捕获文件可能会更好。除了嗅探工具,它还提供入侵检测和签名分析,更适合您正在寻找的分析类型,而Wireshark主要是(非常好的)纯网络嗅探器。
我没有以这种身份使用它(仅作为嗅探器),但我知道它可以让你分析过去的捕获,并且从刚刚重新浏览文档,看起来它可能会做你想要的要做。
是否可以识别真正的0天攻击是另一回事,这取决于他们更新/发布签名的速度,但大多数脚本小子无论如何也不会使用0天。
ETA :现在看起来他们需要一个帐户,但看起来,至少对于普通帐户来说,它们是免费的。他们似乎也提供订阅服务,但注册用户签名文件有望足以识别攻击。