Andreas Lademann
2007-01-25 19:51:44 UTC
Hallo zusammen,
ich muss hier aus mehreren Wireshark-Protokollen verdächtigen
Internetverkehr herausfiltern. Im Speziellen geht es um vermutete
Trojaneraktivitäten und Ausspionieraktionen. Da es sich jeweils um VIELE
Pakete pro Protokoll handelt, bin ich dabei in Wireshark einen Filter zu
basteln, um "vertrauenswürdigen" Traffic auszublenden.
Bevor ich mich jetzt aber auf mein (Halb)wissen verlasse, würde ich
gerne von Euch wissen ob meine Gedanken zu der Filterung richtig sind,
oder ob ich damit auch potentiell gefährlichen Verkehr ausblende.
Hier also meine Regeln, die im Filter gleichzeitig angewendet werden:
(a = anzeigen, na = nicht anzeigen)
- a, wenn Quelladresse der untersuchte PC ist (ip.src)
wichtig ist doch nur ausgehender Traffic, oder?
- na, wenn Zieladresse der Router ist (ip.dst)
- na, wenn Zieladresse Broadcastadresse ist (ip.dst)
- na, wenn Protokoll pop ist
- na, wenn Protokoll smtp ist
- na, wenn Protokoll dns ist
- na, wenn Protokoll http ist (gemeint sind wohl die HTTP-Steuerbefehle
wie z.B. get)
- na, wenn Zielport 80, 110 oder 443 (tcp.dstport)
evtl. nicht so schlau wenn der Trojaner so eingestellt ist, dass er
über einen dieser Ports mit seinem Host kommuniziert...aber ist das
realistisch?
Sind die Regeln so sinnvoll? Was sollte man/muss man ändern?
Hoffe sehr, dass mir hier ein paar Leute weiterhelfen können.
Vielen Dank.
Gruß
Andreas
ich muss hier aus mehreren Wireshark-Protokollen verdächtigen
Internetverkehr herausfiltern. Im Speziellen geht es um vermutete
Trojaneraktivitäten und Ausspionieraktionen. Da es sich jeweils um VIELE
Pakete pro Protokoll handelt, bin ich dabei in Wireshark einen Filter zu
basteln, um "vertrauenswürdigen" Traffic auszublenden.
Bevor ich mich jetzt aber auf mein (Halb)wissen verlasse, würde ich
gerne von Euch wissen ob meine Gedanken zu der Filterung richtig sind,
oder ob ich damit auch potentiell gefährlichen Verkehr ausblende.
Hier also meine Regeln, die im Filter gleichzeitig angewendet werden:
(a = anzeigen, na = nicht anzeigen)
- a, wenn Quelladresse der untersuchte PC ist (ip.src)
wichtig ist doch nur ausgehender Traffic, oder?
- na, wenn Zieladresse der Router ist (ip.dst)
- na, wenn Zieladresse Broadcastadresse ist (ip.dst)
- na, wenn Protokoll pop ist
- na, wenn Protokoll smtp ist
- na, wenn Protokoll dns ist
- na, wenn Protokoll http ist (gemeint sind wohl die HTTP-Steuerbefehle
wie z.B. get)
- na, wenn Zielport 80, 110 oder 443 (tcp.dstport)
evtl. nicht so schlau wenn der Trojaner so eingestellt ist, dass er
über einen dieser Ports mit seinem Host kommuniziert...aber ist das
realistisch?
Sind die Regeln so sinnvoll? Was sollte man/muss man ändern?
Hoffe sehr, dass mir hier ein paar Leute weiterhelfen können.
Vielen Dank.
Gruß
Andreas