Alert
・ICMP Destination Unreachable Port Unreachable パケットがポートへ到達不能時に発生。 ポートスキャナーとかでlistenしていないポートにぶっぱなすと 大量にあがります。 icodeが「3」でitypeが「3」にセットされているimcpパケットが EXTERNAL_NET から…
・ICMP Time-To-Live Exceeded in Transit パケットの破棄報告。TTL値がゼロになった場合に発生。 icodeが「0」でitypeが「11」にセットされているimcpパケットが HOME_NET からEXTERNAL_NET へ流れたときに発生。
・ICMP PING ping打ったら上がります。 icodeが「0」でitypeが「8」にセットされているimcpパケットが EXTERNAL_NET からHOME_NET へ流れたときに発生。 ・ICMP PING Windows WindowsOSからping打ったら上がります。 itypeが「8」で先頭から12バイト以内に「…
・ATTACK-RESPONSES 403 Forbidden アクセス権のないWebページ、ディレクトリのリクエストの応答を検知。 ディレクトリのリストを取ろうと思ってパーミッションが701なんかにされてるとでますね。 先頭から12バイト以内に「HTTP/1.1 403」 という文字列が含…
・MS-SQL ping attempt MSDEのインストールされたノートをネットワークに接続したときにの ブロードキャストが引っかかった模様。 先頭1バイトに「|02|」という文字列が含まれるパケットが EXTERNAL_NETからHOME_NET 1434 へ流れたときに発生。 ・POLICY VNC…
・ INFO Connection Closed MSG from Port 80 最近でたApacheの脆弱性を検証してたらあがりました(笑) 外部からHTTP(80)に対して接続を行いサーバ側から接続が切られたときに発生する模様。 大文字小文字の区別なく「Connection closed by foreign host」 …
・ INFO web bug 0x0 gif attempt サイズ1x1のGIFを読み込んだことを検知。 アクセス解析によく利用されるアレっすね。 大文字小文字の区別なく「Content-type|3A|image/gif」 0バイト以上空けたところに大文字小文字の区別なく「GIF」 3バイト以上、4バイト…
・ CHAT MSN message MSN Messengerでのチャットを検知。 先頭から4バイト以内に「MSG 」 以後、大文字小文字の区別なく「Content-Type|3A|」(3AはHEX) 少なくとも1バイト空いたところに「text/plain」 という文字列が含まれるパケットが HOME_NETからEXTE…
・ MULTIMEDIA Quicktime User Agent access QuickTimeUserAgentが起動したことを検知。 大文字小文字を区別せず「User-Agent|3A| Quicktime」という文字列(3AはHEX)が含まれるパケットが HOME_NETからEXTERNAL_NET 80へ流れたときに発生。
・POLICY FTP anonymous login attempt FTPへの匿名ログインを検知。 大文字小文字の区別なく 先頭からUSER[空白][anonymousもしくはftp]という文字列が EXTERNAL_NETからHOME_NET 21へ流れたときに発生。 要はユーザ命がanonymousかftpってことっすね。
・CHAT MSN login attempt MSNメッセンジャーのログインの発見。 先頭から4バイトまでに「USR」という文字列があり 4バイトの後1バイトおいた以降に「TWN」という文字列が存在するパケットが HOME_NETからENTERNAL_NET 1863へ流れたときに発生。 ・PORN B…
・ATTACK-RESPONSES directory listing ディレクトリリスト取得が成功した場合などで 「Volume Serial Number」という文字列が HOME_NETからENTERNAL_NETへ流れたときに発生。 ・ATTACK-RESPONSES command error WEBサーバ上でコマンド実行が失敗したときな…
