Detection de botnet (Control & Command)
Résolu
elpens
Messages postés
917
Statut
Contributeur
-
elpens Messages postés 917 Statut Contributeur -
elpens Messages postés 917 Statut Contributeur -
Bonjour ccm,
Je recherche un moyen efficace de détecter des botnets, spécifiquement ceux qui se "commandent" via un canal de commande et de control (C&C)
Je voudrais, si possible, les détécter via traffic (tcpdump, netcat ou quelque chose du genre) afin de ne pas devoir installer un programme sur chaque machine.
Merci d'avance pour toute aide!!!!
--
Elpens
Je recherche un moyen efficace de détecter des botnets, spécifiquement ceux qui se "commandent" via un canal de commande et de control (C&C)
Je voudrais, si possible, les détécter via traffic (tcpdump, netcat ou quelque chose du genre) afin de ne pas devoir installer un programme sur chaque machine.
Merci d'avance pour toute aide!!!!
--
Elpens
3 réponses
-
Salut,
Pour les C&C avec des IRCd, vu qu'en général, le traffic passe en clair, le mieux c'est de faire un script avec ngrep.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left -
Hello,
Merci pour ta réponse, je vais tenter de regarder ce que j'arrive à faire avec ngrep!
Des conseils particulier?
-
Re,
J'ai fait quelques "analyses" avec ngrep sur les keywords "PRIVMSG" et "JOIN", mais sans succès.
Qu'est-ce que je peux encore tester comme pattern qui pourrait identifier un C&C?
Merci d'avance