За годы работы попадаешь в ситуации, когда по доброте душевной(никак не могу привыкнуть) начинаешь общаться с вендорами по проблемам с их продуктами.Местами встреться с невежеством, местами с адекватностью.Приходится писать багрепорты с технической информацией: логи, трафик и прочий дебаг.
Про трафик сегодня и поговорим.Чтобы не отправлять горы служебного трафика, маки, внутренние адресации и т.д., необходимо снизить количество раскрываемой информации ограничившись аспектом проблемы.В общем искался простой сетевой обфускатор без наворотов из коробки.На самом деле такие не менее крутые тулы, которые кстати и находятся первыми, никто не отменял.В целом функционал по редактированию трафика в различном его исполнении реализован практически во всех утилитах для работы с оным.
Возможности:
-Позволяет прогрузить отдельный файл или целую папку c cap/dmc/enc/pcap/pcapng файлами с анализом внутренней структуры, но красочной статистики нету
-Позволяет совершать различные манипуляции с содержанием трафика посредством внутренних заданий, а именно:
1)анонимизация на уровнях L2/L3/L4, маки/ip адреса/tcp udp порты
2)извлечение отдельных данных/анализ с помощью правил snort и выгрузка каждого детекта в отдельный файл.Правила можно взять у Emerging Threats, либо понаписать свои.Отличный пост на эту тему: Verifying IoCs with Snort and TraceWrangler
3)удаление заголовков Juniper GRE GTP-U MPLS
4)сравнение файлов трафика
Оф.сайт: https://www.tracewrangler.com
Документация: https://www.tracewrangler.com/documentation/TraceWrangler.html
Насчёт mast have не знаю, но утилита явно не бесполезная.
P.S.: Мне тут подумалось ещё что подобные действия с трафиком могут быть использованы в обучающих целях, например для создания сэмплов примеров атак или публикации на https://www.cloudshark.org и на http://packetlife.net/captures/
Про трафик сегодня и поговорим.Чтобы не отправлять горы служебного трафика, маки, внутренние адресации и т.д., необходимо снизить количество раскрываемой информации ограничившись аспектом проблемы.В общем искался простой сетевой обфускатор без наворотов из коробки.На самом деле такие не менее крутые тулы, которые кстати и находятся первыми, никто не отменял.В целом функционал по редактированию трафика в различном его исполнении реализован практически во всех утилитах для работы с оным.
Возможности:
-Позволяет прогрузить отдельный файл или целую папку c cap/dmc/enc/pcap/pcapng файлами с анализом внутренней структуры, но красочной статистики нету
-Позволяет совершать различные манипуляции с содержанием трафика посредством внутренних заданий, а именно:
1)анонимизация на уровнях L2/L3/L4, маки/ip адреса/tcp udp порты
2)извлечение отдельных данных/анализ с помощью правил snort и выгрузка каждого детекта в отдельный файл.Правила можно взять у Emerging Threats, либо понаписать свои.Отличный пост на эту тему: Verifying IoCs with Snort and TraceWrangler
3)удаление заголовков Juniper GRE GTP-U MPLS
4)сравнение файлов трафика
Оф.сайт: https://www.tracewrangler.com
Документация: https://www.tracewrangler.com/documentation/TraceWrangler.html
Насчёт mast have не знаю, но утилита явно не бесполезная.
P.S.: Мне тут подумалось ещё что подобные действия с трафиком могут быть использованы в обучающих целях, например для создания сэмплов примеров атак или публикации на https://www.cloudshark.org и на http://packetlife.net/captures/
Комментариев нет:
Отправить комментарий