ARAKIS

Szczególy klastra: [WORM] SQL Slammer (1434/UDP, "sock", "send", "|81 F1 03 01 04 9B 81 F1 01|"

Nazwa:	[WORM] SQL Slammer (1434/UDP, "sock", "send", "\|81 F1 03 01 04 9B 81 F1 01\|"
Data:	2006-11-15 12:30:51
Poziom klasyfikacji:	Attack
Rdzeń:	[WORM] SQL Slammer (1434/UDP, "sock", "send", "\|81 F1 03 01 04 9B 81 F1 01\|"
Porty:	1434/UDP
Unikalnych źródeł:	120
Rozmiar sygnatury:	311
Sygnatura klastra:
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"[WORM] SQL Slammer (1434/UDP, "sock", "send", "\|\ 81 F1 03 01 04 9B 81 F1 01\|""; content:"\|01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01\ 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 \ 01 01 01 01 01 01 01 01 01 01 01 01 01\|"; content:"\|dc c9 b0\|B\|eb 0e 01 01 01 01 01 01 01\|p\|ae\|B\|01\|\ p\|ae\|B\|90 90 90 90 90 90 90 90\|h\|dc c9 b0\|B\|b8 01 01 01 01\|1\|c9 b1 18\|P\|e2 fd\|5\|01 01 01 05\|P\|89 e5\|\ Qh.dllhel32hkernQhounthickChGetTf\|b9\|llQh32.dhws2_f\|b9\|etQhsockf\|b9\|toQhsend\|be 18 10 ae\|B\|8d\|E\|d4\|P\ \|ff 16\|P\|8d\|E\|e0\|P\|8d\|E\|f0\|P\|ff 16\|P\|be 10 10 ae\|B\|8b 1e 8b 03\|=U\|8b ec\|Qt\|05 be 1c 10 ae\|B\|ff 16 ff\ d0\|1\|c9\|QQP\|81 f1 03 01 04 9b 81 f1 01 01 01 01\|Q\|8d\|E\|cc\|P\|8b\|E\|c0\|P\|ff 16\|j\|11\|j\|02\|j\|02 ff d0\|P\|\ 8d\|E\|c4\|P\|8b\|E\|c0\|P\|ff 16 89 c6 09 db 81 f3\|<a\|d9 ff 8b\|E\|b4 8d 0c\|@\|8d 14 88 c1 e2 04 01 c2 c1 e2 0\ 8\|)\|c2 8d\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.