Identyfikacja anomalii w sesjach

Wykorzystując funkcję śledzenia strumieni, można wykrywać anomalie, takie jak:

• Niekompletne połączenia TCP (brak FIN/ACK)
  tcp.flags.fin == 1 and not tcp.flags.ack == 1
• Zerwane sesje przez reset (RST)
  tcp.flags.rst == 1
• Nieoczekiwane odpowiedzi HTTP 4xx/5xx
  http.response.code >= 400

Podsumowanie

Rekonstrukcja strumieni i śledzenie sesji to kluczowe techniki pozwalające na dogłębną analizę ruchu sieciowego. W kolejnym rozdziale zajmiemy się deanonimizacją ruchu sieciowego i wykrywaniem tunelowania danych!