Como obter detalhes - como o Remote ip - sobre o alerta gerado pelo suricata após a varredura do arquivo pcap

Navegue suas respostas
0

Eu queria testar a segurança do meu celular Android, então deixei o mesmo por um dia rodando o tcpdump em segundo plano.

Em seguida, envio o pcap resultante para o virustotal.com. Eles estão digitalizando arquivo pcap usando snort e suricata.

No relatório, tenho um alerta para ET MOBILE MALWARE Google Android Device HTTP Request

Como posso obter mais informações sobre os pacotes que acionaram o alerta? Estou interessado principalmente em ip remoto, mas o conteúdo também será útil - estou tentando identificar qual aplicativo acionou o alerta etc.

Eu tenho um mashine linux para analisar o arquivo mais, mas não sei por onde começar. Eu suponho que se eu executar apenas suricata -r my.pcap. , isso me dará a mesma saída e nada mais. Como obter mais detalhes?

    
por Lord_JABA 22.05.2015 / 16:21

1 resposta

0

Em primeiro lugar, você não deveria ter enviado um PCAP de seus dados de telefones para terceiros se estiver genuinamente preocupado com a segurança. Existem muitas ferramentas para permitir que você mesmo faça esse tipo de análise.

Em seguida, isso deve ser bastante fácil de analisar.

Configure um filtro no NetMon, Wireshark, qualquer ferramenta de sua preferência e filtre o protocolo HTTP. Isso fará com que você fique apenas no tipo de tráfego relevante. Dê uma olhada nos IPs de origem e de destino e você deverá encontrá-lo rapidamente.

Outra boa ferramenta para tentar é o link

O desenvolvedor desta ferramenta é extremamente respeitado (opinião, eu sei!) em seu campo e tendo usado essa ferramenta sozinho ao analisar os fluxos de dados de minhas máquinas, eu sei que isso não reproduz seus dados para ele em tudo .

    
por 22.05.2015 / 16:30

Tags

Notepad ++ Bad Allocation - onde eu encontro os arquivos de restauração? Compartilhe 1 hdd para PC e PS3