چگونه یک حمله را تشخیص دهیم؟

[jzd]

سلام دوستان
سوال من اینه که چه جوری باید از روی logهایی که با برنامه wireshark میگیریم،یک حمله رو تشخیص بدیم.
ممنون میشم اگه راهنماییم کنید.

---

موضوعات مشابه:

• تشخیص ترافیک و زمان و حجم باقیمانده اینترنت
• چگونگی تشخیص خرابی آنتن
• تشخیص هارد با بافر بالا
• تشخیص قطعات ارجینال سرور
• تشخیص خوب یا بد بودن یک وب سرور

---

[oaram3]

نمیشه نسخه کلی داد. مثلا شما در حمله ARP pois وقتی لاگ رو نگاه کنی حجم زیادی از بسته های arp رو می بینی که به همه ارسال میشه و در زمان کوتاهی هم رخ می ده. یا وقتی یکی داره پورتها رو اسکن میکنه میشه تا حدودی فهمید. اما نسخه کلی نمیشه پیچید!

[A.Yazdani]

سلام دوستان
سوال من اینه که چه جوری باید از روی logهایی که با برنامه wireshark میگیریم،یک حمله رو تشخیص بدیم.
ممنون میشم اگه راهنماییم کنید.

کلا روال مشخصی نداره که بگیم مثلا اگه فقط این اتفاق افتاد و این علائم رو دیدیم به سیستم و شبکه ما حمله شده !
اما اگه خوش شانس باشیم موقع حمله یکی از موارد زیر رو که بیشتر در زمان حمله مشاهده میشه رو میبینیم :
-ترافیک inbound , outbound زیاد و غیر طبیعی شبکه مخصوصا در زمان بیکاری سیستم های شبکه .(ترافیکی که خلاف ترافیک معمول شبکه است. )
-زیاد شدن فعالیت دیسک سیستم. معمولا Attacker بعد از حمله به شبکه یک Scan بسیار سنگین روی سیستم انجام میدهد تا اطلاعات مورد نیاز مثل بانک اطلاعاتی خاص رو بدست بیاره.
-وارد شدن تعداد زیادی Packet از یه Source مشخص .
-وارد شدن تعداد زیادی Packet با یک Port مشخص .
...