Comprensione del registro Snort

Question

Comprensione del registro Snort

#1 da (2 voti)

2

Sono nuovo di Snort e ho eseguito Snort tramite un file .cap e ho ottenuto i log che dovrei interpretare. Se prendo per esempio un blocco di registro come quello qui sotto:

[**] [1:2463:7] EXPLOIT IGMP IGAP message overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1] 
05/29-19:44:02.238185 249.94.153.251 -> 249.94.153.77
IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF
Frag Offset: 0x1FFF   Frag Size: 0x01E2
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]

So che questo è un avviso generato da GID = 1 ID firma 2363, revisione 7 (se non ho torto, anche questo significa un avviso di negazione del servizio), ma cosa significa l'altra informazione?

logging snort

posta Cheikh Ahmadou 20.11.2015 - 15:28

fonte

1 risposta

Leggi altre domande sui tag logging snort

Spostamento dei file infetti nel cestino rispetto alla messa in quarantena Qual è la procedura per implementare le zone di sicurezza in una rete di produzione senza influire negativamente sulle comunicazioni?

score 2 · Accepted Answer

[1:2463:7]: Firma intrusione
EXPLOIT IGMP IGAP message overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] 05/29-19:44:02.238185 : messaggio che spiega le possibili conseguenze dell'attacco.

249.94.153.251: Source IP: questo è l'indirizzo IP da cui lo snort crede che l'attacco provenga.

249.94.153.77: L'IP di destinazione: questo è l'indirizzo IP del target di attacco.

IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF Frag Offset: 0x1FFF Frag Size: 0x01E2: In sostanza, in questo attacco l'utente malintenzionato crea e invia un pacchetto IGAP non valido e, se decodificato da una versione vulnerabile di Ethereal / tethereal, può causare un overflow del buffer e la conseguente esecuzione di codice arbitrario. Pertanto, questi dati descrivono le informazioni sul pacchetto IGMP che ha attivato l'avviso. Come Time to Live (TTL) e Type of Service (TOS) per ulteriori informazioni consulta link

[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]: sono collegamenti aggiuntivi che forniscono ulteriori informazioni sulla vulnerabilità che rende possibile questo attacco. Il sistema CVE (Common Vulnerabilities and Exposures) fornisce un metodo di riferimento per le vulnerabilità di sicurezza delle informazioni note pubblicamente.

Per altre firme di snort guarda link

Spero che questo aiuti a comprendere gli avvisi di snort