Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1
RSS
Помогите с wirshark, Анализ ботнета
 
#1
Это нравится:0Да/0Нет
08.08.2010 18:34:25
Hi to all:
Помогите проанализировать действия одного ботнета. Моя задача узнать, что происходит на конкретном примере. Принцип действия ботнетов уже известен, а вот, что происходит в wirshark сложнее. В WMplayer запустил ботнет и с помощью Wiresharka произвел захват виртуального адаптера. В итоге получил некоторое количество пакетов и теперь нужно создать документацию (анализ), а т.к. мои знания wirshark не велики, то все остановилось. Сам фаил с wireshark не нашел как тут прицепить.  :(

Если кому несложно помогите с документацией или посоветуйте какую-нибудь литературу.

Заранее  спасибо
 
 
 
#2
Это нравится:0Да/0Нет
09.08.2010 10:09:24
Цитата
Dj.hash пишет:
В WMplayer запустил ботнет

Так вот, оказывается, для чего WMplayer!  :o Не знал, что он ещё и это умеет.
 
 
 
#3
Это нравится:0Да/0Нет
09.08.2010 10:10:51
Ну а по теме - читайте - http://www.protocols.ru/files/Tools/Ethereal.pdf И вот - http://www.wireshark.org/docs/wsug_html_chunked/
Изменено: SOLDIER - 09.08.2010 10:12:12
 
 
 
#4
Это нравится:0Да/0Нет
09.08.2010 10:53:34
Цитата
SOLDIER пишет:
Так вот, оказывается, для чего WMplayer! Не знал, что он ещё и это умеет.

я так понимаю автор имеет ввиду VMWare Player
 
 
 
#5
Это нравится:0Да/0Нет
09.08.2010 11:26:18
Цитата
jungle_vnd пишет:
я так понимаю автор имеет ввиду VMWare Player

Занятно. Тогда я был неправ.  :oops:
 
 
 
#6
Это нравится:0Да/0Нет
09.08.2010 15:50:17
да, именно VMWare Player


Цитата
SOLDIER пишет:
Ну а по теме - читайте - http://www.protocols.ru/files/Tools/Ethereal.pdf И вот - http://www.wireshark.org/docs/wsug_html_chunked/

спасибо, посмотрю!!!
 
 
 
#7
Это нравится:0Да/0Нет
09.08.2010 16:00:44
а если не сложно, то можете описать, что происходит в этих строках!
 
 
 
#8
Это нравится:0Да/0Нет
09.08.2010 17:43:57
Сессия работы по протоколу НетБИОС. Равзе это не очевидно? По тому протоколу, который называется в Виндах "Сетевое окружение".
 
 
 
#9
Это нравится:0Да/0Нет
09.08.2010 18:11:21
Цитата
SOLDIER пишет:
Сессия работы по протоколу НетБИОС. Равзе это не очевидно? По тому протоколу, который называется в Виндах "Сетевое окружение".

к сожалению для меня не очевидно!

а что именно происходит?
 
 
 
#10
Это нравится:0Да/0Нет
09.08.2010 20:53:03
Ну так бегло - подключение к компьютеру, имеющему Виндовое имя Anrew-PC, с компютера VMWARE--c-кучей-цифр , авторизация на нем с использованием NTLM и запрос расшаренных ресурсов (в том числе и принт-сервисов). И последующее отключение. Авторизация от имени пользователя \ (ту не совсем понял) и вроде непрохождение авторизации. Ну вроде так.
 
 
 
#11
Это нравится:0Да/0Нет
09.08.2010 22:35:43
ок, спасибо с этим чуток разобрался, буду рыть дальше!
 
 
 
#12
Это нравится:0Да/0Нет
10.08.2010 14:18:17
а если не сложно объяснить, что может подразумеваться по отправке такого большого количество UDP пакетов. Я так понимаю компьютер отправляет на различные IP адреса запросы для того что бы подсоединиться или получить какую-нибудь информацию?

 
 
 
#13
Это нравится:0Да/0Нет
10.08.2010 15:56:01
Сдается мне, что это торренты.
 
 
 
#14
Это нравится:0Да/0Нет
12.08.2010 11:01:34
Цитата
SOLDIER пишет:
Сдается мне, что это торренты.
там жеж прямым текстом про E-donkey, хотя, то же самое впрофиль.
 
 
 
#15
Это нравится:0Да/0Нет
12.08.2010 13:29:17
Ну да. Это я некорректно выразился. Корректнее было бы сказать - p2p-сеть.
 
 
 
Страницы: 1
Читают тему