是否可以使用 Zeek 检查 TCP 保留位?
Is it possible to inspect TCP reserved bits with Zeek?
我正在测试 Zeek/Bro 检测不同类型隐写术的能力。在使用 ICMP 协议之后,我正在尝试检查 TCP 协议。我想检测 TCP 中的保留位是否在 TCP 事件的帮助下发生了变化。不幸的是没有成功。
是否可以使用 Zeek 检查 TCP 保留位?
不是开箱即用的,不是。添加它的一种方法是在本地构建中扩展 TCP_Flags class,以便它也捕获 TCP header 的 th_x2 字段位。然后,使用报告标志的 tcp_packet 事件。
不过,这会很慢,因为它是 packet-level 分析。
我正在测试 Zeek/Bro 检测不同类型隐写术的能力。在使用 ICMP 协议之后,我正在尝试检查 TCP 协议。我想检测 TCP 中的保留位是否在 TCP 事件的帮助下发生了变化。不幸的是没有成功。
是否可以使用 Zeek 检查 TCP 保留位?
不是开箱即用的,不是。添加它的一种方法是在本地构建中扩展 TCP_Flags class,以便它也捕获 TCP header 的 th_x2 字段位。然后,使用报告标志的 tcp_packet 事件。
不过,这会很慢,因为它是 packet-level 分析。