我正在测试 Zeek/Bro 在检测不同类型的隐写术方面的能力。现在使用 ICMP 协议后,我正在尝试检查 TCP 协议。我想检测 TCP 中的保留位是否在 TCP 事件的帮助下发生了变化。不幸的是没有成功。
是否可以使用 Zeek 检查 TCP 保留位?
问问题
76 次
1 回答
1
不是开箱即用,不。添加它的一种方法是在本地构建中扩展TCP_Flags类,以便它也捕获 TCP 标头的th_x2字段位。然后,使用tcp_packet报告标志的事件。
不过,这会很慢,因为它是数据包级别的分析。
于 2020-03-24T01:33:15.687 回答