确定在攻击的 pcap 文件上使用了哪个漏洞
Determine which exploit was used on a pcap file of attack
我有一个 pcap 文件,其中包含我对本地服务器环境的攻击。对本地的攻击是在另一台 Kali Linux 机器上使用 Metasploit Framework 进行的,流量是使用 Wireshark 在路由器上使用端口镜像捕获的。我能够利用该系统并获取本地密码。
问题是,我如何仅通过查看 pcap 文件就知道我使用了哪个漏洞?我想将该文件提供给法医分析。
有什么方法可以在 pcap 文件中找到漏洞名称吗?
此致
经过进一步调查,我弄明白了如何知道在攻击中使用了哪个 exploit。我设法在我的 Kali Linux 机器上配置 SNORT,一个 IDS 系统,并将 *.pcap 文件传递给它.
Snort 将分析该 *.pcap 文件,试图找到符合特定规则的所有流量。如果任何流量行为与任何 snort 规则匹配,snort 将提示您一条消息。
考虑到这一点,我能够在匹配 Snort 文件夹中的规则 exploit.rules 后收集漏洞名称。
Snort 在他的规则文件夹中默认有很多规则,所以你只需要 运行 对 *.pcap 文件执行以下命令并祈祷匹配 ;)
snort -r <your-pcap-file>
我希望这对任何试图找到在 tcpdump 或 wireshark 捕获的攻击中使用了哪个漏洞的人有所帮助。
我有一个 pcap 文件,其中包含我对本地服务器环境的攻击。对本地的攻击是在另一台 Kali Linux 机器上使用 Metasploit Framework 进行的,流量是使用 Wireshark 在路由器上使用端口镜像捕获的。我能够利用该系统并获取本地密码。
问题是,我如何仅通过查看 pcap 文件就知道我使用了哪个漏洞?我想将该文件提供给法医分析。
有什么方法可以在 pcap 文件中找到漏洞名称吗?
此致
经过进一步调查,我弄明白了如何知道在攻击中使用了哪个 exploit。我设法在我的 Kali Linux 机器上配置 SNORT,一个 IDS 系统,并将 *.pcap 文件传递给它.
Snort 将分析该 *.pcap 文件,试图找到符合特定规则的所有流量。如果任何流量行为与任何 snort 规则匹配,snort 将提示您一条消息。
考虑到这一点,我能够在匹配 Snort 文件夹中的规则 exploit.rules 后收集漏洞名称。
Snort 在他的规则文件夹中默认有很多规则,所以你只需要 运行 对 *.pcap 文件执行以下命令并祈祷匹配 ;)
snort -r <your-pcap-file>
我希望这对任何试图找到在 tcpdump 或 wireshark 捕获的攻击中使用了哪个漏洞的人有所帮助。