всеBuilding Wireshark фильтр LDAP для будущих сценариев
На нашей среде мы имеем несколько серверов все еще используя LDAP для аутентификации и мне нужно фильтровать запросы LDAP в течение 8 часов, чтобы иметь общее представление о том, сколько различных счетах мы выставили ,
Проблема в том, что я не могу создать слишком большие захваты. (Только для примера, используя фильтр для ldap-порта и маркировку флагов TCP-запроса, я едва могу захватить за 3 минуты до того, как мой захват достигнет 100 МБ).
Интересно, есть ли способ создать фильтр захвата, который будет искать HEX в части DATA пакета.
Кто-нибудь знает, как я смогу это сделать?
В настоящее время я использую фильтр захвата, как:
port 389 && tcp[13] == 24
и фильтр отображения, как:
ldap.bindRequest_element && ldap.messageID==1
Другая проблема заключается в том, что делать это я не мог придумать сценарий, который бы разделите имя пользователя, чтобы я мог информировать всех, возможно, скомпрометированных пользователей, чтобы изменить их PWD.
Заранее спасибо