Можно ли с помощью Zeek проверить зарезервированные биты TCP?
Я тестирую возможности Zeek/Bro с точки зрения обнаружения различных типов стеганографии. После работы с протоколом ICMP теперь я пытаюсь проверить протокол TCP. Я хочу определить, изменены ли зарезервированные биты в TCP с помощью событий TCP. К сожалению, безуспешно.
Можно ли с помощью Zeek проверить зарезервированные биты TCP?
1 ответ
Решение
Не из коробки, нет. Один из способов добавить это - расширить TCP_Flagsкласс в вашей локальной сборки, так что захватывает заголовок TCP,th_x2биты поля. Затем используйтеtcp_packet событие, которое сообщает о флагах.
Однако это будет довольно медленно, так как это будет анализ на уровне пакетов.