Entendiendo el registro de Snort

Question

Entendiendo el registro de Snort

#1 de Ubaidah (2 votos)

2

Soy nuevo en Snort, y corrí Snort a través de un archivo .cap y obtuve los registros que debería interpretar. Si tomo por ejemplo un bloque de registro como el de abajo:

[**] [1:2463:7] EXPLOIT IGMP IGAP message overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1] 
05/29-19:44:02.238185 249.94.153.251 -> 249.94.153.77
IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF
Frag Offset: 0x1FFF   Frag Size: 0x01E2
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]

Sé que esta es una alerta generada por GID = 1 ID de firma 2363, revisión 7 (si no estoy equivocado, también significa una alerta de denegación de servicio), pero ¿qué significa la otra información?

logging snort

pregunta Cheikh Ahmadou 20.11.2015 - 15:28

fuente

1 respuesta

Lea otras preguntas en las etiquetas logging snort

Spoofing IP address como local a través de Internet ¿Cuáles son los riesgos de permitir el almacenamiento de cookies persistentes en su sistema?

score 2 · Accepted Answer

[1:2463:7]: Intrusion Signature
EXPLOIT IGMP IGAP message overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] 05/29-19:44:02.238185 : mensaje que explica las posibles consecuencias del ataque.

249.94.153.251: IP de origen: esta es la dirección IP de donde snort cree que proviene el ataque.

249.94.153.77: La IP de destino: esta es la dirección IP del objetivo de ataque.

IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF Frag Offset: 0x1FFF Frag Size: 0x01E2: Básicamente, en este ataque el atacante crea y envía un paquete IGAP con formato incorrecto, y si es descodificado por una versión vulnerable de Ethereal / tethereal, puede causar un desbordamiento del búfer y la posterior ejecución de un código arbitrario. Entonces, estos datos describen información sobre el paquete IGMP que activó la alerta. Me gusta Time to Live (TTL) y Type of Service (TOS) para obtener más información, visite enlace

[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]: son enlaces adicionales que proporcionan más información sobre la vulnerabilidad que hace posible este ataque. El sistema de vulnerabilidades y exposiciones comunes (CVE) proporciona un método de referencia para las vulnerabilidades de seguridad de la información conocidas públicamente.

Para otras firmas de snort, consulte enlace

Espero que esto ayude a comprender las alertas de snort