Snort签名解释
Snort signature explanation
SHELLCODE x86 OS agnostic fnstenv geteip dword xor decoder [分类:检测到可执行代码] [优先级:1] {TCP} 192.168.202.50:60322 -> 192.168.22.252:445
1) 这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么?
2)哪个ip是攻击者?
2) SYN 数据包上的数据 [分类:通用协议命令解码] [优先级:3] {TCP} 192.168.199.58:63000 -> 192.168.28.100:60000
1) 这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么?
2) 此警报来自 snort 体系结构的哪一部分?
3)SPYWARE-PUT Hacker-Tool timbuktu pro 运行时检测 - udp 端口 407 [分类:杂项 activity] [优先级:3] {UDP} 192.168.199.58:59173 -> 192.168.22.201: 407
1)这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么?
2)谁是主人,谁是受害者?
4) snort: [1:3815:6] SMTP eXchange POP3 邮件服务器溢出尝试 [分类:杂项攻击] [优先级:2] {TCP} 192.168.199.58:60327 -> 192.168.21.151:25
1)这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么?
2)谁是主人,谁是攻击者?
我进行了大量搜索,但无法理解或找到有关这些签名的任何详细信息。请帮忙
那么,让我将其结构化为一个答案:
1)
This event indicates that shellcode has been detected in network traffic 因此,如果该代码通过并被执行,您最终会得到一个后门。
192.168.202.50:60322 似乎是攻击 IP,它正试图利用 Windows 框 192.168.22.252:445
[=38 上的一些漏洞=]
2)
- 192.168.199.58:63000 -> 192.168.28.100:60000 = 为此我不确定,因为端口 60000 可用于各种用途..
3)
- SPYWARE-PUT 黑客工具 timbuktu pro 运行时检测 - udp 端口 407 = 这有点不言自明.. 192.168.199.58:59173 正试图将请求推送到 192.168.22.201 端口 407..
4)
- 与 192.168.199.58:60327 相同,试图利用内存溢出到 SMTP:192.168.21.151:25
但在所有这些情况下,似乎 192.168.199.58 可能被利用了,或者那个盒子里的东西正在探测 LAN 网络..
我还会扫描 192.168.199.50 和 .58 来找出谁在这些盒子上,来自外部地址的任何当前连接,可能已经利用了这两个盒子..
SHELLCODE x86 OS agnostic fnstenv geteip dword xor decoder [分类:检测到可执行代码] [优先级:1] {TCP} 192.168.202.50:60322 -> 192.168.22.252:445
1) 这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么? 2)哪个ip是攻击者?
2) SYN 数据包上的数据 [分类:通用协议命令解码] [优先级:3] {TCP} 192.168.199.58:63000 -> 192.168.28.100:60000
1) 这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么? 2) 此警报来自 snort 体系结构的哪一部分?
3)SPYWARE-PUT Hacker-Tool timbuktu pro 运行时检测 - udp 端口 407 [分类:杂项 activity] [优先级:3] {UDP} 192.168.199.58:59173 -> 192.168.22.201: 407 1)这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么? 2)谁是主人,谁是受害者?
4) snort: [1:3815:6] SMTP eXchange POP3 邮件服务器溢出尝试 [分类:杂项攻击] [优先级:2] {TCP} 192.168.199.58:60327 -> 192.168.21.151:25 1)这个警报是什么意思?寻找的签名是什么?如果它通过了会发生什么? 2)谁是主人,谁是攻击者?
我进行了大量搜索,但无法理解或找到有关这些签名的任何详细信息。请帮忙
那么,让我将其结构化为一个答案:
1)
This event indicates that shellcode has been detected in network traffic因此,如果该代码通过并被执行,您最终会得到一个后门。192.168.202.50:60322 似乎是攻击 IP,它正试图利用 Windows 框 192.168.22.252:445
[=38 上的一些漏洞=]
2)
- 192.168.199.58:63000 -> 192.168.28.100:60000 = 为此我不确定,因为端口 60000 可用于各种用途..
3)
- SPYWARE-PUT 黑客工具 timbuktu pro 运行时检测 - udp 端口 407 = 这有点不言自明.. 192.168.199.58:59173 正试图将请求推送到 192.168.22.201 端口 407..
4)
- 与 192.168.199.58:60327 相同,试图利用内存溢出到 SMTP:192.168.21.151:25
但在所有这些情况下,似乎 192.168.199.58 可能被利用了,或者那个盒子里的东西正在探测 LAN 网络..
我还会扫描 192.168.199.50 和 .58 来找出谁在这些盒子上,来自外部地址的任何当前连接,可能已经利用了这两个盒子..