我们对这些规则进行了分析,试图找出ntop工具是否可以检测和阻止Sunburst,而答案是肯定的,可以。让我们来看看一些规则。...您可以观察到的第一件事是,这些规则是any/any,这意味着IDS必须调查每个连接,因为大多数IDS都不像ntop工具那样使用DPI,因此它们需要在到处搜索而不是精确定位字段:这意味着整体工具性能会降低...以下规则基本上是TLS SNI(服务器名称指示)匹配项。...33,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,33,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,33,0,0,0,0,0,0,0,0,0,0,0,0]
现在你可以在其他工具中使用这种技术...,如ntopng,如下所示
ntopng -p sunburst.protos -i ~/avsvmcloud.com.pcap
然后在ntopng里面,你必须通过绑定(菜单设置->应用程序和类别)告诉它