Comments 4
Пропустили запятые в фильтрах:
tcp.port in {22 23 3389}
tcp.port in {3333 4444 9999}
icmp нужно уделять больше внимания. Это может быть признак разведки.
Http post ну или get в 2025 очень редко используется в ВПО. Как пример можно использовать, но вот на практике пользы мало принесёт. Хотя и сломанные часы дважды в день точное время показывают.
Сортировка по портам эта конечно база. И злоумышлинник эту базу отлично тоже знает. Уж лучше что-то точечное использовать. К примеру фильтр по 53 порту и размеру пакетов больше 1кб (ну или чуть больше).
Если в целом если брать всю статью, то иронично, что статья призывает фильтровать и бороться с шумом, хотя сама этим шумом наполовину забита. Есть рациональные мысли, но их нужно отсеивать.
Спасибо за развернутый комментарий и пример с DNS.
Вы, конечно правы, серьезное ВПО уже давно использует шифрование (HTTPS) или кастомные скрытые каналы. Но тут нюанс в аудитории и цели. Фильтр POST я давала как учебный, дидактический пример. Он нужен, чтобы новичок уловил логику: «мы ищем явное действие по передаче данных». К тому же, в реальных сетях (особенно с легаси софтом) фишинг и простые стилеры всё еще светят незащищенным POST.
Про то, что статья «забита шумом» - тут моя логика была показать механику (т.е. последовательность шагов: сначала отсечь фон, потом искать действия), а не просто дать список «топ-5 фильтров»
Благодарю за рекомендации.
Как найти иголку в стоге сена: Точечная фильтрация шума в Wireshark для SOC-аналитиков