Szczególy klastra: NETBIOS SMB Initiation (445/TCP) Nazwa: NETBIOS SMB Initiation (445/TCP) Data: 2008-11-26 19:30:38 Poziom klasyfikacji: Normal Rdzeń: 1e4abcb5d97b21b6cfa2f3631e4a443e Porty: 445/TCP Unikalnych źródeł: 659 Rozmiar sygnatury: 165 Sygnatura klastra: alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS SMB Initiation (445/TCP)"; flow:to_server\ ,established; content:"u|c0 00 00 d7|m|0c ff 00 00 00 df ff 02 00 01 00 00 00 00 00|[|00 00 00 00 0\ 0|\\|d0 00 80|~|00|`Y|06 06|+|06 01 05 05 02 a0|O0M|a0 0e|0|0c 06 0a|+|06 01 04 01 82|7|02 02 0a a2|\ \;|04|9NTLMSSP|00 01 00 00 00 01 02 08 00 09 00 09 00| |00 00 00 10 00 10 00|)|00 00 00|WORKGROUPlQP\ xf2ISQgEV1bGKWindows 2000 2195|00|Windows 2000 5.0|00|";) Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.

© Copyright by 2007    (Aktualizacja strony: 2010-09-07 17:05:00 CEST)