Abaixo temos um exemplo de alerta gerado pelo Snort. A explicação de cada linha segue abaixo.

[**][1:2001669:2] BLENDING-EDGE Web Proxy Get Request[**] [Classification: Potentially Bad Traffic][Priority 2]
09/22-04:09:54.54.944632 192.168.1.1:64570-> 192.168.2.33:80
TCP TTL:108 TOS:0x0 ID:17008 IpLen: 20 DgmLen: 454 DF
***AP***Seq: 0x478a75AC Ack: 0x4F338167 Win: 0x40B0 TcpLen: 20
[Xref=>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0951] [Xref=>http://www.secutiryfocus.com/bid/1756] [Xref=>http://www.whitehats.com/info/IDS474]

Onde:

  1. 2001669 = Gerador da regra (GID);
  2. 2 = Código da regra (SID);
  3. BLENDING-EDGE = Revisão;
  4. Web Proxy Get Request[**] [Classification: Potentially Bad Traffic][Priority 2] = Descrição do alerta + classificação + prioridade;
  5. 09/22-04:09:54.54.944632 192.168.1.1:64570-> 192.168.2.33:80 = Timestamp + IP + portas;
  6. ***AP***Seq: 0x478a75AC Ack: 0x4F338167 Win: 0x40B0 TcpLen: 20 = Parâmetros de rede;
  7. [Xref=>http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0951], [Xref=>http://www.secutiryfocus.com/bid/1756], [Xref=>http://www.whitehats.com/info/IDS474] = Referências.

Na próxima etapa do nosso estudo, veremos como instalar, configurar e extrair as informações necessárias do Snort.

Copyright © 2014 AIEC.