Szczególy klastra: NETBIOS SMB Initiation (445/TCP) Nazwa: NETBIOS SMB Initiation (445/TCP) Data: 2006-11-15 12:31:23 Poziom klasyfikacji: Normal Rdzeń: ff85e3d70cbf2aaad5abb1e02254b8c6 Porty: 445/TCP Unikalnych źródeł: 595 Rozmiar sygnatury: 176 Sygnatura klastra: alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg:"NETBIOS SMB Initiation (445/TCP)"; flow:to_server\ ,established; content:"|fe 00 08| |00 0c ff 00 da 00 04 11 0a 00 00 00 00 00 00 00|W|00 00 00 00 00\ d4 00 00 80 9f 00|NTLMSSP|00 03 00 00 00 01 00 01 00|F|00 00 00 00 00 00 00|G|00 00 00 00 00 00 00|\ @|00 00 00 00 00 00 00|@|00 00 00 06 00 06 00|@|00 00 00 10 00 10 00|G|00 00 00 15 8a 88 e0|H|00|O|0\ 0|D|00 00|"; content:"W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|2|00|0|00|0|00|0|00| |00|2|00|"; conte\ nt:"9|00|5|00 00 00|W|00|i|00|n|00|d|00|o|00|w|00|s|00| |00|2|00|0|00|0|00|0|00| |00|5|00|.|00|0|00 \ 00 00 00 00|";) Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.

© Copyright by 2007    (Aktualizacja strony: 2010-09-07 16:05:00 CEST)