Detection de botnet (Control & Command)

Résolu
elpens Messages postés 917 Statut Contributeur -  
elpens Messages postés 917 Statut Contributeur -
Bonjour ccm,

Je recherche un moyen efficace de détecter des botnets, spécifiquement ceux qui se "commandent" via un canal de commande et de control (C&C)

Je voudrais, si possible, les détécter via traffic (tcpdump, netcat ou quelque chose du genre) afin de ne pas devoir installer un programme sur chaque machine.

Merci d'avance pour toute aide!!!!

--
Elpens

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour les C&C avec des IRCd, vu qu'en général, le traffic passe en clair, le mieux c'est de faire un script avec ngrep.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. elpens Messages postés 917 Statut Contributeur 136
     
    Hello,

    Merci pour ta réponse, je vais tenter de regarder ce que j'arrive à faire avec ngrep!
    Des conseils particulier?
    0
  3. elpens Messages postés 917 Statut Contributeur 136
     
    Re,

    J'ai fait quelques "analyses" avec ngrep sur les keywords "PRIVMSG" et "JOIN", mais sans succès.

    Qu'est-ce que je peux encore tester comme pattern qui pourrait identifier un C&C?

    Merci d'avance

    0