我是snort的新手,我已经通过.cap文件运行了snort并得到了我应该解释的日志。如果采用例如下面的日志块:
[**] [1:2463:7] EXPLOIT IGMP IGAP message overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
05/29-19:44:02.238185 249.94.153.251 -> 249.94.153.77
IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF
Frag Offset: 0x1FFF Frag Size: 0x01E2
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]
我可以说这是拒绝服务尝试提醒,但其他信息是什么意思?你能帮我吗?
答案 0 :(得分:0)
好吧,让我们先看看snort规则与数据包匹配时显示的消息。然后分类也是该规则的一部分,它只是为了更好的描述。优先级1为高2为中等,3为低。然后你有数据包描述时间,源IP,目标IP,协议,ttl等。最后一个外部参照是对包含已知漏洞的miter数据库的攻击的引用。所有这些参数都可以成为snort规则的一部分。检查snort手册以编写规则以便更好地理解。