Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Podemos
resaltar porciones para poderlo leer de mejor manera:
Podemos poner un
filtro de http:
Dado que cuando se realiza un evento de POST bajo el protocolo HTTP, se están enviando datos típicamente
de un formulario, entonces capturar este evento es importante, podemos incorporar el siguiente filtro para
identificar este tipo de captura: http.request.method == POST en el campo de filtro y obtenemos:
Y si analizamos la porción de HTML Form URL Encoded, podremos identificar las credenciales colocadas en el
formulario…
Utilizando otro ejemplo de análisis, podemos ver tráfico con anomalías en el DNS, para ello utilizaremos el
archivo para analizarlo llamado “dns-remoteshell.pcap”:
Como el DNS utiliza el puerto 53, podemos utilizar el siguiente filtro: tcp.port == 53 en el campo filtro y
obtendremos:
Como lo muestra la figura anterior, hagamos la selección recomendada para tener la información en orden
de secuencia. Y luego podemo identificar que se logró ejecutar un Shell Remoto en el puerto 53: