Análisis de paquetes .pcap

Estimados,

Son 2 ejercicios.

Si tengo una captura de trafico de red en un pcap de 30mil lineas y me dicen que en esa captura debiese haber un ataque a un servidor y se necesita saber qué información fue robada en el ataque y por otro lado tengo otro pcap de 300 líneas y me piden la cuenta d twitter del "hacker" que atacó. ¿Cómo resolver eso? Que necesitaría estudiar o qué herramienta usar. Pd: solo es un ejercicio de un ctf que finalizo (defcon 25) y otro que encontré por allí. Y me dejaron tirado. No sé por dónde empezar. Cómo analizar esos temas. Cómo detectar un "ataque".

Debes ser parte de la comunidad para poder comentar.

Omar Jacobo Muñoz Veliz Pro ha comentado hace
más de 6 años

Mmm estan buenos con la primera lo que se me ocurre es buscar algun patron en las 30 mil lineas como hacer un filtro por tcp, regularmente cuando existe un ataque hay un patron solo es identificar un paquete sospechoso y luego seguir las conversaciones tcp para poder ver que informacion fue robada con el segundo seria de revisar si dejo algun dato como un nickname o el nombre de la computadora que uso y hacer busquedas con osint para ver si lo puedo vincular ya sea con maltego o algo similar.