Question

Я тестирую возможности Zeek / Bro с точки зрения обнаружения различных типов стеганографии. После работы с протоколом ICMP я пытаюсь проверить протокол TCP. Я хочу обнаружить, если зарезервированные биты в TCP изменены с помощью событий TCP. К сожалению, без успеха.

Можно ли проверить зарезервированные биты TCP с помощью Zeek?

Christian · Answer 1 · 24 марта 2020

Не из коробки, нет. Один из способов добавить его - расширить класс TCP_Flags в вашей локальной сборке, чтобы он также захватывал биты поля th_x2 заголовка TCP. Затем используйте событие tcp_packet, которое сообщает о флагах.

Это будет довольно медленно, хотя это будет анализ на уровне пакетов.

Можно ли проверить зарезервированные биты TCP с Zeek?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Можно ли проверить зарезервированные биты TCP с Zeek?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы