Wykrywanie podejrzanego ruchu w sieci

Administratorzy często wykorzystują Wiresharka do wykrywania nietypowego ruchu wskazującego na możliwość ataku lub naruszenia bezpieczeństwa.

Analiza nietypowego ruchu ICMP (możliwe skanowanie sieci):

• Identyfikacja nadmiernych żądań ping:
  icmp and frame.len > 1000
• Filtrowanie zapytań spoza sieci lokalnej:
  ip.src != 192.168.1.0/24

Wykrywanie potencjalnego ataku Man-in-the-Middle (MitM):

• Sprawdzenie duplikacji adresów MAC (ARP Spoofing):
  arp.duplicate-address-detected == 1
• Analiza nagłych zmian trasowania ruchu:
  ip.src != expected_gateway_ip