Tips
¿Items sospechosos descargados?
File > Export Objects > HTTP
¿Discrepancias o anomalías de protocolos?
Statistics > Protocol Hierarchy
Fíjate en los Endpoints. ¿Alguna IP sospechosa?
Si hay muchas request y broadcast desde un mismo dispositivo...
Mucho tráfico ICMP podría significar un ataque o exfiltración de datos
El valor Type del paquete no debería ser diferente a 0 u 8...
Handshake fuera de secuencia...
RST packets o similares en un handshake pueden indicar indicios de Nmap o de escaneos de puertos (marcados normalmente en rojo en Wireshark)
Paquetes DNS fuera del protocolo UDP y fuera del puerto no coincidente 53...
Paquetes que intentan comunicarse con servidores que no son DNS
Paquetes que no son Query-Response, es decir, se envían sin respuesta
No deberías encontrarte con muchos HTTP hoy en día así que si los encuentras, míralos bien a fondo
Aprovecha y observa cualquier información de estos paquetes
Requests parciales, sin completar, sin respuesta
Si tienes la contraseña o la key SSL/TLS puedes descifrar el tráfico cifrado
Edit > Preferences > Protocols > TLS
Última actualización 1yr ago