IDS
http://www.snort.org/今ふと気付いたんだけど Snort.orgのトップにいるブタさんの絵が変わってる。 前はSnortって文字が赤っぽい色だったけど今は黄色。 oinkmasterのブタさんと同じになってる。 そういやSourcefireのサイトのもそうだったかなぁ。 統一さ…
・ICMP Destination Unreachable Port Unreachable パケットがポートへ到達不能時に発生。 ポートスキャナーとかでlistenしていないポートにぶっぱなすと 大量にあがります。 icodeが「3」でitypeが「3」にセットされているimcpパケットが EXTERNAL_NET から…
・ICMP Time-To-Live Exceeded in Transit パケットの破棄報告。TTL値がゼロになった場合に発生。 icodeが「0」でitypeが「11」にセットされているimcpパケットが HOME_NET からEXTERNAL_NET へ流れたときに発生。
・ICMP PING ping打ったら上がります。 icodeが「0」でitypeが「8」にセットされているimcpパケットが EXTERNAL_NET からHOME_NET へ流れたときに発生。 ・ICMP PING Windows WindowsOSからping打ったら上がります。 itypeが「8」で先頭から12バイト以内に「…
・ATTACK-RESPONSES 403 Forbidden アクセス権のないWebページ、ディレクトリのリクエストの応答を検知。 ディレクトリのリストを取ろうと思ってパーミッションが701なんかにされてるとでますね。 先頭から12バイト以内に「HTTP/1.1 403」 という文字列が含…
・MS-SQL ping attempt MSDEのインストールされたノートをネットワークに接続したときにの ブロードキャストが引っかかった模様。 先頭1バイトに「|02|」という文字列が含まれるパケットが EXTERNAL_NETからHOME_NET 1434 へ流れたときに発生。 ・POLICY VNC…
・ INFO Connection Closed MSG from Port 80 最近でたApacheの脆弱性を検証してたらあがりました(笑) 外部からHTTP(80)に対して接続を行いサーバ側から接続が切られたときに発生する模様。 大文字小文字の区別なく「Connection closed by foreign host」 …
http://oinkmaster.sourceforge.net/メモし忘れてた…ChangeLog
・ INFO web bug 0x0 gif attempt サイズ1x1のGIFを読み込んだことを検知。 アクセス解析によく利用されるアレっすね。 大文字小文字の区別なく「Content-type|3A|image/gif」 0バイト以上空けたところに大文字小文字の区別なく「GIF」 3バイト以上、4バイト…
・ CHAT MSN message MSN Messengerでのチャットを検知。 先頭から4バイト以内に「MSG 」 以後、大文字小文字の区別なく「Content-Type|3A|」(3AはHEX) 少なくとも1バイト空いたところに「text/plain」 という文字列が含まれるパケットが HOME_NETからEXTE…
・ MULTIMEDIA Quicktime User Agent access QuickTimeUserAgentが起動したことを検知。 大文字小文字を区別せず「User-Agent|3A| Quicktime」という文字列(3AはHEX)が含まれるパケットが HOME_NETからEXTERNAL_NET 80へ流れたときに発生。
・POLICY FTP anonymous login attempt FTPへの匿名ログインを検知。 大文字小文字の区別なく 先頭からUSER[空白][anonymousもしくはftp]という文字列が EXTERNAL_NETからHOME_NET 21へ流れたときに発生。 要はユーザ命がanonymousかftpってことっすね。
・CHAT MSN login attempt MSNメッセンジャーのログインの発見。 先頭から4バイトまでに「USR」という文字列があり 4バイトの後1バイトおいた以降に「TWN」という文字列が存在するパケットが HOME_NETからENTERNAL_NET 1863へ流れたときに発生。 ・PORN B…
・ATTACK-RESPONSES directory listing ディレクトリリスト取得が成功した場合などで 「Volume Serial Number」という文字列が HOME_NETからENTERNAL_NETへ流れたときに発生。 ・ATTACK-RESPONSES command error WEBサーバ上でコマンド実行が失敗したときな…
http://www.snort.org/
http://www.activeworx.org/index.htm
http://www.activeworx.org/programs/idspm/index.htm二日前の1.4.1を見逃してたっ!1.4.2 ・Fixed - Don't be case sensitive when checking to see if Classification exists. ・Fixed - Parse rule properly if header has multiple spaces.1.4.1 ・Added…
http://www.aanval.com/?op=pub_openAanval
http://www.snort.org/・ Updated database schema diagram from Chris Reid. Schema can be found in ./doc/snort_schema_v106.pdf・ Added --include-pcre* configuration option to help cross compiling. Thanks Erik de Castro Lopo.・ Fixed threshold…
・Added new TCP state engine ・Added ASN.1 parsing and detection functionality to snort. Please refer to README.asn1 for more information on rule usage. ・Fixed rebuilt TCP packet munging reported by Steve Halligan. Thanks a lot for gettin…
http://www.netagent.co.jp/1CDsnort.html
http://www.la-samhna.de/samhain/index.htmlHIDS。 Unix系で動くのだけどWindowsでもCygwinで動作可能。 未検証。
PHP + MySQL の環境があれば簡単に構築できるらしい。 ACIDがあれば必要ないかもだが一応チェック。http://www.aanval.com/
[Change History] New HTML output TEXT output improvement GUI improvement Correct some small bugs (thanks Randy)要するに細かいバグ修正http://jeremy.chartier.free.fr/snortalog/