Re: Entender os logs do SNORT

To: Julio Lopez <juliosmlopez@hotmail.com>, "Debian-User-Portuguese (E-mail)" <debian-user-portuguese@lists.debian.org>
Subject: Re: Entender os logs do SNORT
From: Eduardo Tadeu da Silva <eduardotadeudasilva@yahoo.com.br>
Date: Thu, 13 Jan 2005 13:57:40 -0300 (ART)
Message-id: <[🔎] 20050113165740.82604.qmail@web52906.mail.yahoo.com>
In-reply-to: <[🔎] BAY1-DAV153252F2218319340719C8C88A0@phx.gbl>

Existem analisadores de logs.. que fazem isso muito
bem.. 
Se vc está registrando esses alertas no banco de dados
e consequentemente deseja mostrar esses registros vc
deve instalar uma série de pacotes e um deles é o 
analisador ACID.

Para entender melhor consulte o site www.snort.org



 --- Julio Lopez <juliosmlopez@hotmail.com> escreveu: 
> Olá pessoal,
> 
> Instalei o SNORT em minha rede e gostaria de
> entender melhor os registros gerados no LOG:
> Alguém mais experiente poderia me explicar (ou
> indicar algum tutorial) sobre como fazer uma análise
> eficiente dos logs do SNORT, e entender aquelas
> informações para concluir se foi invadido ou não?
> 
> Por exemplos, o que significam na prática as
> informações abaixo, obtidas do meu LOG hoje:
> 
> 
> Events between  01 12 07:37:18  and  01 13 05:09:43
> Total events: 645
> Signatures recorded: 10 
> Source IP recorded: 37
> Destination IP recorded: 37
> Portscan recorded: 6
> 
> 
> Events from same host to same destination using same
> method
>
=========================================================================
>  # of  from             to               method
>
=========================================================================
>   127  10.0.0.139       200.185.40.69   
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
>   110  200.152.199.183  155.102.177.84   ICMP
> Destination Unreachable (Port Unreachable)
>    78  10.0.0.139       64.4.18.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    48  10.0.0.139       64.4.34.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    26  10.0.0.139       64.4.22.250     
> (http_inspect) DOUBLE DECODING ATTACK
>    22  10.0.0.139       65.54.187.250   
> (http_inspect) DOUBLE DECODING ATTACK
>    17  10.0.0.139       216.109.124.107 
> (http_inspect) DOUBLE DECODING ATTACK
>    17  10.0.0.139       64.233.171.85   
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
>    17  10.0.0.139       65.54.184.250   
> (http_inspect) DOUBLE DECODING ATTACK
>    15  200.176.255.22   155.102.177.84   ICMP
> Destination Unreachable (Communication
> Administratively Prohibited)
> 
> 
> Portscans performed to/from HOME_NET
> ===================================
>  # of  from
> ===================================
>     4  200.113.32.226
> 
> 
> Desde já agradeço pela ajuda,
> 
> Julio 

=====
Eduardo Tadeu
Caixa Econômica Federal
Brasília-DF


	

	
		
_______________________________________________________ 
Yahoo! Messenger 6.0 - jogos, emoticons sonoros e muita diversão. Instale agora! 
http://br.download.yahoo.com/messenger/

Reply to:

References:
- Entender os logs do SNORT
  - From: "Julio Lopez" <juliosmlopez@hotmail.com>

Prev by Date: Re: [Fora] SCO Unix
Next by Date: Re: [Fora] SCO Unix
Previous by thread: Entender os logs do SNORT
Next by thread: Problemas com debmirror
Index(es):
- Date
- Thread