Re: Entender os logs do SNORT
Existem analisadores de logs.. que fazem isso muito
bem..
Se vc está registrando esses alertas no banco de dados
e consequentemente deseja mostrar esses registros vc
deve instalar uma série de pacotes e um deles é o
analisador ACID.
Para entender melhor consulte o site www.snort.org
--- Julio Lopez <juliosmlopez@hotmail.com> escreveu:
> Olá pessoal,
>
> Instalei o SNORT em minha rede e gostaria de
> entender melhor os registros gerados no LOG:
> Alguém mais experiente poderia me explicar (ou
> indicar algum tutorial) sobre como fazer uma análise
> eficiente dos logs do SNORT, e entender aquelas
> informações para concluir se foi invadido ou não?
>
> Por exemplos, o que significam na prática as
> informações abaixo, obtidas do meu LOG hoje:
>
>
> Events between 01 12 07:37:18 and 01 13 05:09:43
> Total events: 645
> Signatures recorded: 10
> Source IP recorded: 37
> Destination IP recorded: 37
> Portscan recorded: 6
>
>
> Events from same host to same destination using same
> method
>
=========================================================================
> # of from to method
>
=========================================================================
> 127 10.0.0.139 200.185.40.69
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
> 110 200.152.199.183 155.102.177.84 ICMP
> Destination Unreachable (Port Unreachable)
> 78 10.0.0.139 64.4.18.250
> (http_inspect) DOUBLE DECODING ATTACK
> 48 10.0.0.139 64.4.34.250
> (http_inspect) DOUBLE DECODING ATTACK
> 26 10.0.0.139 64.4.22.250
> (http_inspect) DOUBLE DECODING ATTACK
> 22 10.0.0.139 65.54.187.250
> (http_inspect) DOUBLE DECODING ATTACK
> 17 10.0.0.139 216.109.124.107
> (http_inspect) DOUBLE DECODING ATTACK
> 17 10.0.0.139 64.233.171.85
> (http_inspect) OVERSIZE REQUEST-URI DIRECTORY
> 17 10.0.0.139 65.54.184.250
> (http_inspect) DOUBLE DECODING ATTACK
> 15 200.176.255.22 155.102.177.84 ICMP
> Destination Unreachable (Communication
> Administratively Prohibited)
>
>
> Portscans performed to/from HOME_NET
> ===================================
> # of from
> ===================================
> 4 200.113.32.226
>
>
> Desde já agradeço pela ajuda,
>
> Julio
=====
Eduardo Tadeu
Caixa Econômica Federal
Brasília-DF
_______________________________________________________
Yahoo! Messenger 6.0 - jogos, emoticons sonoros e muita diversão. Instale agora!
http://br.download.yahoo.com/messenger/
Reply to: