Analiza anomalii w ruchu szyfrowanym

Szyfrowanie jest kluczowe dla prywatności, ale jego nietypowe użycie może sygnalizować podejrzaną aktywność.

• Wykrywanie ruchu o niezwykle wysokim poziomie szyfrowania:
  frame.len > 1500 and tls
• Nieoczekiwane sesje SSL/TLS z niestandardowymi certyfikatami:
  tls.handshake.certificate contains "self-signed"
• Analiza ruchu SSH pod kątem tunelowania:
  tcp.port == 22 and frame.len > 1000

Podsumowanie

Deanonimizacja ruchu i wykrywanie tunelowania są kluczowymi elementami analizy bezpieczeństwa sieci. W kolejnym rozdziale omówimy zaawansowane techniki wykrywania ataków i ich analizę w Wireshark!