Новые ответы

не могу разобраться логами снорта ,

kazak, 28-Янв-04, 17:22 [смотреть все]

Поставил снорт на linux Mandrake 9.0 - все бы хорошо, только не могу разобраться с логами. За неделю собрал статистику-логи, хотел бы их разобрать, что-то поменять в препроцессорах... Некоторые логи просто не понимаю:
[**] ICMP PING Windows [**]
01/21-17:05:37.073600 10.1.0.231 -> 192.168.23.10
ICMP TTL:123 TOS:0x0 ID:33593 IpLen:20 DgmLen:60
Type:8  Code:0  ID:512   Seq:27907  ECHO
61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70  abcdefghijklmnop
71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69  qrstuvwabcdefghi
Машины с ip 192.168.23.10 у нас нет вообще.
Что это за атака "ICMP PING Windows" ?
Поделитесь пожалуйста опытом.

Ответить | Сообщить модератору

не могу разобраться логами снорта , kazak, 17:31 , 28-Янв-04 (1)
Вот ещё в alerts нашел такую сторочку:
[Xref => http://www.whitehats.com/info/IDS169]
Ответить | Сообщить модератору

не могу разобраться логами снорта , VD, 18:37 , 28-Янв-04 (2)
А правила snort-а посмотрел? Выкинул ненужные? А то он много лишнего в логи пишет по умолчанию, нормальный трафик за атаки принимает.
Ответить | Сообщить модератору

не могу разобраться логами снорта , kazak, 14:27 , 29-Янв-04 (3)
>А правила snort-а посмотрел? Выкинул ненужные? А то он много лишнего в
>логи пишет по умолчанию, нормальный трафик за атаки принимает.

Правила смотрел, что-то убрал, но все равно опыта малова-то.
Потом пинговать тачку из инета не получится - прокся стоит!
И все же что может означать?
##########################
[Xref => http://www.whitehats.com/info/IDS169]
[**] ICMP PING Windows [**]
01/21-17:14:38.477063 10.1.0.231 -> 192.168.X.10
ICMP TTL:123 TOS:0x0 ID:33823 IpLen:20 DgmLen:60
Type:8  Code:0  ID:512   Seq:29699  ECHO
61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70  abcdefghijklmnop
71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69  qrstuvwabcdefghi
##########################

Ответить | Сообщить модератору