IDS ile PCAP Analizini Kolaylaştırma

IDS , ağ içerisinde tehlikeli aktiviteleri tespit etmeyi amaçlayan saldırı tespit sisteminin kısaltmasıdır. Snort, Bro , Suricata saldırı tespit sistemlerinden bazılarıdır. Ağ analizi için mevcut pcap dosyasının IDS tarafından incelenmesi ile imza tabanlı saldırılar kolayca tespit edilebilmektedir.

IDS in aktif olduğu bir ağ içerisinde Pcap dosyası yeniden oynatılarak mevcut trafik IDS filtresinden geçirilebilir ve varsa tehlikeli aktiviteler alarm olarak yansıtılır.

(Sguil aktif olarak bekliyor)

Pcap dosyasının tekrar oynatılması için “tcpdump” aracı kullanılabilir.

tcpreplay -i [AG_KARTI] [TRAFIK_KAYDI]

Ayrıca “–mbps” parametresi ile trafik belirtilen hızda oynatılabilir.

Trafik kaydı yeniden oynatıldıktan sonra IDS in ürettiği alarmlar incelenir ve ağ analizi kolaylaştırılmış olur.

(IDS in ürettiği alarmlar)

İlk Yorumu Siz Yapın

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir