Q

snort和portscan登錄

snort

2011-04-26 51 views 0 likes

0

幾天前我發佈了一個關於portscan日誌的問題，但是這是一個單獨的問題，涉及新的portscan日誌。snort和portscan登錄

時間：04/13-15：29：41.660134 EVENT_ID：6042 XXXX - > XXXX（端口掃描）UDP過濾端口掃描優先權計數：0 連接計數：200 IP計數：66 掃描器IP範圍： XXXX：XXXX 端口/原數：32 端口/原範圍：137：17500

我試圖確定從該日誌，源IP，目的IP，源端口，目的端口4米的東西。

我想要的其他一些選項，但根據需要，將是該掃描的端口掃描類型和標誌。

再次感謝您提供的任何幫助。

2011-04-26 Josh Polsky

A

回答

1

該協議是UDP，所以沒有可用的標誌（這是TCP的東西）。日誌建議（如果我正確讀取它）32個端口進行了測試，運行範圍從137到17500，所以選擇除137和17500以外的30個端口，這就是掃描的內容。爲了獲得更具體的信息，您需要找到一種方法來分解信息並將每個警報分解到自己的事件並單獨記錄。

2011-05-31 06:04:21 Kumba

相關問題

1. php登錄和Facebook登錄
2. snort警報和snort日誌規則操作有什麼區別？
3. 區分使用Meteor.loginWithExternalService（）登錄和登錄
4. 登錄網站登錄名和密碼
5. Python登錄Cookie和保存登錄
6. 管理員登錄和觀衆登錄
7. Angularjs處理登錄和登錄頁面
8. 訪問從登錄控制inasp.net登錄名和登錄狀態
9. Android的portscan無法正常工作
10. 在Snort的