Страница 1 из 1
Вопрос по Snort-у
Добавлено: 10 мар 2006, 07:03
Аман Ванкуверский
Имеется несколько больших логов Snort в plain text. Вопрос - как их анализировать?
Насколько я понимаю,
1) конвертировать в binary нельзя
2) в MySQL в plain-е загнать тоже нельзя
так?
Чем же их гонять? Пытался SnortSnarf-ом (perl-овый скрипт) парсить, за 8 часов он и одного файла не закончил.. Всего имеется 3 файла по 75-100Мб.
Есть какие-нибудь идеи? Заранее спасибо
P.S. Народная мудрость гласит - если компьютерщик в 7 утра уже не спит, значит он еще не ложился...
Re: Вопрос по Snort-у
Добавлено: 10 мар 2006, 08:06
CdR
Фиг его знает, мне Snortalog, ( это тоже перловый скрипт:
http://jeremy.chartier.free.fr/snortalog) хватало, когда надо было.
Файлы конечно поменьше были.
Добавлено: 10 мар 2006, 08:39
oblom
Re: Вопрос по Snort-у
Добавлено: 10 мар 2006, 11:29
Аман Ванкуверский
Спасибо, вроде помогло
Информативности правда меньше, чем у СнортСнарфа, зато работает
За 3 минуты проанализировал 75 мегов, 250.000+ событий. Правда у меня потом 25-меговый отчет в браузере открывался минут 15
но это уже другая тема.
oblom писал(а):
ACID
ACID же вроде только с базами работает?
Добавлено: 10 мар 2006, 11:37
oblom
Добавлено: 10 мар 2006, 11:46
Аман Ванкуверский
Ну да. А проблема как раз заключается в том, что есть только логи в текстовом виде. Иначе бы уже давно была фиеста.
Или все-таки можно их загнать в базу?
Файлы такого вида:
[**] [1:621:6] SCAN FIN [**]
[Classification: Attempted Information Leak] [Priority: 2]
01/01-11:34:49.045462 хх.хх.хх.хх:27569 -> хх.хх.хх.хх:80
TCP TTL:254 TOS:0x0 ID:58906 IpLen:20 DgmLen:40
*******F Seq: 0x7EEFD336 Ack: 0x0 Win: 0x1234 TcpLen: 20
[Xref =>
http://www.whitehats.com/info/IDS27]
[**] [1
6] SNMP request tcp [**]
[Classification: Attempted Information Leak] [Priority: 2]
01/01-11:41:30.245270 хх.хх.хх.хх:34679 -> хх.хх.хх.хх:161
TCP TTL:49 TOS:0x0 ID:63082 IpLen:20 DgmLen:40
******S* Seq: 0x800082F0 Ack: 0x0 Win: 0xC00 TcpLen: 20
[Xref =>
http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-0013][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-0012]
Добавлено: 10 мар 2006, 19:59
vg
Аман Ванкуверский писал(а):
Ну да. А проблема как раз заключается в том, что есть только логи в текстовом виде. Иначе бы уже давно была фиеста.
Или все-таки можно их загнать в базу?
Файлы такого вида:
[**] [1:621:6] SCAN FIN [**]
[Classification: Attempted Information Leak] [Priority: 2]
01/01-11:34:49.045462 хх.хх.хх.хх:27569 -> хх.хх.хх.хх:80
TCP TTL:254 TOS:0x0 ID:58906 IpLen:20 DgmLen:40
*******F Seq: 0x7EEFD336 Ack: 0x0 Win: 0x1234 TcpLen: 20
[Xref =>
http://www.whitehats.com/info/IDS27]
[**] [1
6] SNMP request tcp [**]
[Classification: Attempted Information Leak] [Priority: 2]
01/01-11:41:30.245270 хх.хх.хх.хх:34679 -> хх.хх.хх.хх:161
TCP TTL:49 TOS:0x0 ID:63082 IpLen:20 DgmLen:40
******S* Seq: 0x800082F0 Ack: 0x0 Win: 0xC00 TcpLen: 20
[Xref =>
http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-0013][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cg ... -2002-0012]
Я так писал сам анализатор...
Кстати, такое ощущение, что вроде ты там себя сам сканить тренируешься
(TTL в первом пакете большой). Ну а " Classification: Attempted Information Leak" - здесь сильно назван FIN скан. Скан есть скан, и кстати даже как противоправное деяние не класифицируется.
Добавлено: 10 мар 2006, 20:36
Аман Ванкуверский
vg писал(а):Я так писал сам анализатор...
Чувствую, и мне придется..
vg писал(а):Кстати, такое ощущение, что вроде ты там себя сам сканить тренируешься (TTL в первом пакете большой)
Нет, это из продакшн энвайрмент. А насчет ТТЛа - хорошее замечание
vg писал(а):Ну а " Classification: Attempted Information Leak" - здесь сильно назван FIN скан.
А что еще ожидать от IDSа, который каждый пинг пакет воспринимает как угрозу национальной безопасности
6] SNMP request tcp [**]