・ATTACK-RESPONSES directory listing

　　ディレクトリリスト取得が成功した場合などで

　　「Volume Serial Number」という文字列が

　　HOME_NETからENTERNAL_NETへ流れたときに発生。
 ・ATTACK-RESPONSES command error

　　WEBサーバ上でコマンド実行が失敗したときなどに

　　「Bad command or filename」という文字列が

　　HTTP_SERVERS　HTTP_PORTSからENTERNAL_NETへ流れたときに発生。
 ・ATTACK-RESPONSES file copied ok

　　ファイルがコピーされた場合に

　　「1 file|28|s|29| copied」という文字列が

　　HTTP_SERVERS　HTTP_PORTSからENTERNAL_NETへ流れたときに発生。


自宅のSnortであがってきたアラートを書いていこうっと。

っていっても今は　

ゲートをNetScreenにしたので

外から家のネットワークに用事があるときはVPNにするので

外部にサーバを公開していない。ってなわけで

HOME_NET any 

EXTERNAL_NET any

となりFalsePositiveまくりなのだけど。

とりあえず今日から開始。
今回のはWindows系サーバに攻撃が成立したときに発生する系。

IIS上でUnicodeバグとかでコマンド実行したら流れるかな。

すべてそれ系のサイトの文字列に反応していただけでしたー。