Wireshark на службе защитников

Как узнать, что происходит в вашей сети, если внешние защитные рубежи не спасают от внутренних угроз? Анализ сетевого трафика — мощный инструмент, который позволяет выявлять подозрительную активность, расследовать инциденты и настраивать системы защиты так, чтобы злоумышленникам не осталось лазеек. В этой статье мы разберём, как использовать Tcpdump и Wireshark для сбора и анализа трафика, фильтровать лишние данные, выявлять атаки вроде ARP Spoofing и SYN Flood, а также находить уязвимости в сети до того, как ими воспользуются.

https://habr.com/ru/companies/otus/articles/891980/

Spy-Free FuriOS https://furilabs.com/spy-free-furios/

FuriOS Doesn’t Spy on You - Unlike the Others. Read more.

The latest release of the #AirGradient firmware removed the code that phones home to the company servers even when you check the to to explicitly tell it not to do so. This is a big win for #privacy and #SelfHosting!

https://github.com/airgradienthq/arduino/releases/tag/3.2.0

I plan on flashing this onto my device and testing it to verify nothing was missed. #tcpdump and #wireshark are my friends.

Firewall не спасёт

Сгенерировано с помощью GIGA-CHAT Межсетевые экраны издревле применяются для блокирования входящего трафика нежелательных приложений. Обычно для этого создаются правила фильтрации, разрешающие входящий трафик по явно указанным сетевым портам и запрещающие весь остальной. При этом легитимные приложения, монопольно владеющие открытыми портами, работают без проблем, а вот нежелательные остаются без связи, поскольку все доступные им порты блокируются межсетевым экраном. Данный подход давно отработан и стар как мир, казалось бы, что тут может пойти не так? А оказывается, может и вполне идёт. Далее из этой статьи вы узнаете две техники обхода межсетевых экранов, позволяющие нежелательным приложениям преодолевать фильтрацию входящего сетевого трафика и получать команды от удалённых узлов.

https://habr.com/ru/companies/ruvds/articles/874292/

BOLO for #OfficerProxy

#OfficerProxy has been known to hide #IdentityTheftRings & #GangStalkers using #OfficerProxies access to this #CALEA #StateSponsoredMalware access to #GammaGroup's #FinFisher #FinSpy #Finsky #malware by #FacebookGroups organizing their targeted #IdentityTheft using #FakeProfiles of their targets.

Be aware that some #OfficerProxies are getting thousands of dollars of ' kickbacks for access ' for their criminal #Facebook leverage #OrganizedCrimeRings in multiple states and cities.

#InternalAffairs #investigations

#infosec #Fortune1000 #CorporateEspionage #CISO #TCPDUMP #MetaUsers

TIP: If you want to utilize #LLM to analyze and/or troubleshoot your #tcpdump pcap, you can do so by exporting packet dissections as plain text and then selecting only Bytes options. It's helpful for range of basic to medium cases.

У розробників цікавий баг - якщо простий #NodeJS скріпт, який робить GET запит у сторонній API, запускати локально він працює. Якщо усе те саме але в #docker - прилетає 403. Перехопив через #tcpdump пакети у обох випадках та бачу, що запити ідентичні. Як це пояснити - в мене зовсім зкінчились ідеї

And on another good news, got some sign of life from a #tcpdump / #libpcap maintainer. Hopefully the @batadv dissector for libpcap will be merged eventually... It's been more than 4 years already with only eventual feedback from upstream... This would really help with debugging network issues, especially on #embedded devices, and capturing only the data you need with minimal performance overhead.

2024-12-18 (Wednesday): Posted a #pcap with one week of server scans. probes & web traffic hitting my server at www.wiresharkworkshop[.]online.

Window of traffic in the pcap is from 2024-12-13 at 00:00:00 UTC to 2024-12-18 at 23:59:59 UTC

It's an Apache web server (no HTTPS) with a small index page. I have a session of #tcpdump running to capture any traffic over the external interface.

I filter out the internal traffic generated for OS updates, NTP and such, so it should only have the external traffic coming in and the server's response to it.

https://www.malware-traffic-analysis.net/2024/12/18/index.html

Also: My pull-request for #tcpdump / #libpcap to add #batman_adv support to it is now four years old. "Happy" birthday! ...
https://github.com/the-tcpdump-group/libpcap/pull/980

It has been zero* days since #tcpdump and #Wireshark have helped solve a problem.

I read a response from an application developer this morning saying that the packet capture I collected on Friday gave them insight into what the problem was.

*zero because of when I read reply / three for when I captured and analyzed traffic

KubernetesのネットワークオブザーバビリティプラットフォームRetinaを試してみた＜後編：キャプチャ使いこなし編＞
https://qiita.com/melknzw/items/563cfcdcf5ff76917d6a?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#TIL two new #GamaGroup #FinFisher #FinSpy #Finsky verified attaccc node FQDN & ips!

Here's the verified #GammagRoUp attaccc node list for your #TCPDUMP #Meta list of #CorporateEspionage targets to add to the #watchlists



https://infosec.exchange/@infosec_jcp/111643255388069969

#Investigate#TCPDUMP#Meta#GammaGroup2000-2024

Here are some more highlights from the agenda of SharkFest'24 EUROPE, coming up this 4-8 November in Vienna, Austria!

- How to analyze like a pro (Roland Knall)
- Making online conferencing work in secured company networks (Robert Hess)
- Automatically trigger captures via #tcpdump when a suspicious event occurs in your Kubernetes cluster (Thomas Labarussias)

Find out more and register: https://sharkfest.wireshark.org/sfeu