Przykłady szybkiego reagowania na incydenty

Zablokowanie podejrzanego ruchu w firewallu:

Jeśli Wireshark wykryje podejrzane połączenie z adresem 192.168.1.100, można je zablokować:

iptables -A INPUT -s 192.168.1.100 -j DROP

Wykrycie podejrzanych loginów SSH i ich analiza:

ssh.request and frame.time_delta < 1

Monitorowanie wzmożonego ruchu DNS (np. tunelowania danych):

dns and frame.len > 512