Rilevare Tunneling Traffic

---

tags: Rilevare_Tunneling_Traffic wireshark Analisti_Traffico_Wireshark

---

Per rilevare se un attaccante sta esfiltrando dei dati tramite tunneling possiamo usare i seguenti filtri:

ICMP

 
icmp
 
#Se il traffico supera i 64 bytes è probabile che ci sia un attacco i corso:
 
data.len > 64 and icmp
 

DNS

 
dns
 
dns contains "dnscat"
 
dns.qry.name.len > 15 and !mdns