IRC业务的分组分析

Question

我一直在研究这个恶意软件流量分析习题，检测到的部分恶意流量是通过非标准端口443的IRC通信量。这是由ET Snort规则sid:2000348；rev:15发现的。

该规则的内容如下

“连接"；nocase；深度:5；pcre:"/&|#|+|!/R”

如果我要使用Wireshark分析pcap，我如何找到这个IRC JOIN命令？是否有一种方法可以在整个pcap中搜索字符串“联接”？Wireshark是否支持使用regex，如上面的Snort规则？

Answer 1

一种解决方案是使用一个实用工具(如ngrep(http://ngrep.sourceforge.net/usage.html) )，并将它与正则表达式一起传递给它.pcap文件。

例：ngrep -q -I file.pcap|grep -i user

这方面的一个例子可以在web 这里上找到。

来自trustwave.com的片段

5)使用ngrep搜索文本字符串--查找您想要的任何特定字符串或正则表达式，例如查找“密码”、“卡”、“用户名”，etc....This通常会找到FTP、HTTP或弹出密码作为示例。虽然这是一个简单的例子，但ngrep可用于复杂regex‘s.ngrep -q -I file.pcap|grep -i用户，例如..........< TRUNCATED>.Id=secure_username name=用户名value=/> ..........< TRUNCATED>. 6)使用ngrep查找电子邮件。

使用什么regex :如果您还没有使用正则表达式，我会鼓励您学习如何制作正则表达式，因为它们非常有用。(未测试)：~JOIN

编辑:如果您必须使用wireshark而不是ngrep，那么我相信wireshark使用perl风格的正则表达式。