Building Wireshark фильтр LDAP для будущих сценариев

Question

все

На нашей среде мы имеем несколько серверов все еще используя LDAP для аутентификации и мне нужно фильтровать запросы LDAP в течение 8 часов, чтобы иметь общее представление о том, сколько различных счетах мы выставили ,

Проблема в том, что я не могу создать слишком большие захваты. (Только для примера, используя фильтр для ldap-порта и маркировку флагов TCP-запроса, я едва могу захватить за 3 минуты до того, как мой захват достигнет 100 МБ).

Интересно, есть ли способ создать фильтр захвата, который будет искать HEX в части DATA пакета.

Кто-нибудь знает, как я смогу это сделать?

В настоящее время я использую фильтр захвата, как:

port 389 && tcp[13] == 24 

и фильтр отображения, как:

ldap.bindRequest_element && ldap.messageID==1 

Другая проблема заключается в том, что делать это я не мог придумать сценарий, который бы разделите имя пользователя, чтобы я мог информировать всех, возможно, скомпрометированных пользователей, чтобы изменить их PWD.

Заранее спасибо

Answer 1

Я нашел способ сделать это. Только для людей, которые все еще интересно, или нужно будет что-то похоже я использовал следующее:

port 389 && tcp[((tcp[12:1] & 0xf0) >> 2) + 2:2] = 0x0201 && tcp[((tcp[12:1] & 0xf0) >> 2) + 4:1] = 0x01 

Это проверить часть данных пакета и, поскольку некоторые из байтов всегда находятся в том же положении, и все же для запроса привязки ldap с идентификатором сообщения 1 Я использовал это для создания фильтра.

Cheers.