Re: Entender os logs do SNORT

Thu, 13 Jan 2005 10:57:44 -0600 

Existem analisadores de logs.. que fazem isso muito
bem.. 
Se vc está registrando esses alertas no banco de dados
e consequentemente deseja mostrar esses registros vc
deve instalar uma série de pacotes e um deles é o 
analisador ACID.

Para entender melhor consulte o site www.snort.org



 --- Julio Lopez <[EMAIL PROTECTED]> escreveu: 
> Olá pessoal,
> 
> Instalei o SNORT em minha rede e gostaria de
> entender melhor os registros gerados no LOG:
> Alguém mais experiente poderia me explicar (ou
> indicar algum tutorial) sobre como fazer uma análise
> eficiente dos logs do SNORT, e entender aquelas
> informações para concluir se foi invadido ou não?
> 
> Por exemplos, o que significam na prática as
> informações abaixo, obtidas do meu LOG hoje:
> 
> 
> Events between  01 12 07:37:18  and  01 13 05:09:43
> Total events: 645
> Signatures recorded: 10 
> Source IP recorded: 37
> Destination IP recorded: 37
> Portscan recorded: 6
> 
> 
> Events from same host to same destination using same
> method
>
=========================================================================
>  # of  from             to               method
>
=========================================================================
>   127  10.0.0.139       200.185.40.69   
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
>   110  200.152.199.183  155.102.177.84   ICMP
> Destination Unreachable (Port Unreachable)
>    78  10.0.0.139       64.4.18.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    48  10.0.0.139       64.4.34.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    26  10.0.0.139       64.4.22.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    22  10.0.0.139       65.54.187.250   
> (http_inspect) DOUBLE DECODING ATTACK
>    17  10.0.0.139       216.109.124.107 
> (http_inspect) DOUBLE DECODING ATTACK
>    17  10.0.0.139       64.233.171.85   
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
>    17  10.0.0.139       65.54.184.250   
> (http_inspect) DOUBLE DECODING ATTACK
>    15  200.176.255.22   155.102.177.84   ICMP
> Destination Unreachable (Communication
> Administratively Prohibited)
> 
> 
> Portscans performed to/from HOME_NET
> ===================================
>  # of  from
> ===================================
>     4  200.113.32.226
> 
> 
> Desde já agradeço pela ajuda,
> 
> Julio 

=====
Eduardo Tadeu
Caixa Econômica Federal
Brasília-DF


        

        
                
_______________________________________________________ 
Yahoo! Messenger 6.0 - jogos, emoticons sonoros e muita diversão. Instale 
agora! 
http://br.download.yahoo.com/messenger/

Responder a