Archief
- De topics van lang geleden
Help: Snort logs intepreteren?
Hallo lieve mensen,
Ik ben op zoek naar een kundige vrouw of man, die mij
eenmalig wil helpen bij het intepreteren van mijn snort logs.
Ik ben maar een hobbyistische thuisgebruiker en alles wat ik
van computers, programmeren en netwerken weet, heb ik gedaan
via zelfstudie.
OK, ik weet best veel (zeggen ze), maar natuurlijk niet
alles en ik neem de veiligheid van mijn computersysteem
(misschien iets te) serieus.
Ik draai sinds 1998 Linux, omdat ik dat een heel comfortabel
platform vindt. En sinds ik een kabel internet verbinding
heb en dus vrijwel continu online ben, draai ik natuurljik
Snort.
Ik loop vrijwel dagelijks mijn logfiles na en raak min of
meer in paniek van de snort log files.
Vaak kom ik dingen als NOP en SackOK tegen in mijn snort
logs en uit het boekje "Hacking, de kunst van het uitbuiten"
van Jon Ericson heb ik begrepen dat NOP een nul byte is, die
je aan een buffer kan toevoegen om een overbrugging te maken
om vervolgens eigen code toe te voegen.
SackOK heb ik opgezocht via Google en daar werd ik ook niet
bepaald vrolijk van. Ik heb namelijk begrepen dat dit
bevestigd dat ik met "gespoofde" pakketjes heb te maken :(
Wat ik graag zou willen, is dat iemand die kundiger dan ik
is, een frament van mijn snort logs bekijkt. Ik heb het dan
over, pak 'm beet, 7 regels tekst.
Ik hoop dat je aan de hand hiervan kan bepalen of mijn
paranoide nu gegrond is, of dat ik de boel overdrijf.
Hartelijk dank alvast en ik wens een ieder een fantastishe
jaarwisseling.
Marti van Lin,
Maastricht
Ik ben op zoek naar een kundige vrouw of man, die mij
eenmalig wil helpen bij het intepreteren van mijn snort logs.
Ik ben maar een hobbyistische thuisgebruiker en alles wat ik
van computers, programmeren en netwerken weet, heb ik gedaan
via zelfstudie.
OK, ik weet best veel (zeggen ze), maar natuurlijk niet
alles en ik neem de veiligheid van mijn computersysteem
(misschien iets te) serieus.
Ik draai sinds 1998 Linux, omdat ik dat een heel comfortabel
platform vindt. En sinds ik een kabel internet verbinding
heb en dus vrijwel continu online ben, draai ik natuurljik
Snort.
Ik loop vrijwel dagelijks mijn logfiles na en raak min of
meer in paniek van de snort log files.
Vaak kom ik dingen als NOP en SackOK tegen in mijn snort
logs en uit het boekje "Hacking, de kunst van het uitbuiten"
van Jon Ericson heb ik begrepen dat NOP een nul byte is, die
je aan een buffer kan toevoegen om een overbrugging te maken
om vervolgens eigen code toe te voegen.
SackOK heb ik opgezocht via Google en daar werd ik ook niet
bepaald vrolijk van. Ik heb namelijk begrepen dat dit
bevestigd dat ik met "gespoofde" pakketjes heb te maken :(
Wat ik graag zou willen, is dat iemand die kundiger dan ik
is, een frament van mijn snort logs bekijkt. Ik heb het dan
over, pak 'm beet, 7 regels tekst.
Ik hoop dat je aan de hand hiervan kan bepalen of mijn
paranoide nu gegrond is, of dat ik de boel overdrijf.
Hartelijk dank alvast en ik wens een ieder een fantastishe
jaarwisseling.
Marti van Lin,
Maastricht
Reacties (10)
31-12-2005, 11:20 door
[Account Verwijderd]
[Verwijderd]
02-01-2006, 19:29 door
ml2mst
Hartelijk dank voor je reactie NielsT,
Hieronder vindt je een fragment van een van mijn snort
logfies en eigenlijk staat er steeds het zelfde in, per tcp
of udp poort.
Mijn eigen IP adres heb ik natuurlijk veranderd in het fake
adres 95.x.x.x. ;)
12/23-14:03:44.058790 125.100.14.85:3016 -> 95.106.532.118:135
TCP TTL:112 TOS:0x20 ID:5713 IpLen:20 DgmLen:48 DF
******S* Seq: 0x8CBCDE70 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
12/23-14:03:47.017933 125.100.14.85:3016 -> 95.106.523.118:135
TCP TTL:112 TOS:0x20 ID:6664 IpLen:20 DgmLen:48 DF
******S* Seq: 0x8CBCDE70 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Ik wil er nog even aan toevoegen, dat ik geen enkele poort
heb open staan, maar dat er wel enkele services draaien:
Kdm, X en postfix. Maar ja, ik vertrouw de Suse Firewall 2
voor geen enkele meter!
Ben reuze benieuwd.
Heel veel liefs,
Marti
Hieronder vindt je een fragment van een van mijn snort
logfies en eigenlijk staat er steeds het zelfde in, per tcp
of udp poort.
Mijn eigen IP adres heb ik natuurlijk veranderd in het fake
adres 95.x.x.x. ;)
12/23-14:03:44.058790 125.100.14.85:3016 -> 95.106.532.118:135
TCP TTL:112 TOS:0x20 ID:5713 IpLen:20 DgmLen:48 DF
******S* Seq: 0x8CBCDE70 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
12/23-14:03:47.017933 125.100.14.85:3016 -> 95.106.523.118:135
TCP TTL:112 TOS:0x20 ID:6664 IpLen:20 DgmLen:48 DF
******S* Seq: 0x8CBCDE70 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Ik wil er nog even aan toevoegen, dat ik geen enkele poort
heb open staan, maar dat er wel enkele services draaien:
Kdm, X en postfix. Maar ja, ik vertrouw de Suse Firewall 2
voor geen enkele meter!
Ben reuze benieuwd.
Heel veel liefs,
Marti
ik ben sinds 4 weken over op de linux en weet lang niet
zoveel als jij, maar het gevoel wat jij hebt, dat had ik
altijd in de tijd toen ik nog op de windows zat :P
zoveel als jij, maar het gevoel wat jij hebt, dat had ik
altijd in de tijd toen ik nog op de windows zat :P
11-01-2006, 20:33 door
SirDice
Waar je naar kijkt is een uitleg over hoe het pakketje eruit zag.
Die NOP's en SackOK's slaan op de TCP opties in het pakketje wat de alert getriggerd heeft. Het zegt helemaal niets over het alert zelf.
Is de output plugin geconfigureerd in snort.conf?
output alert_fast: myalerts
is wel een aardige..
Die NOP's en SackOK's slaan op de TCP opties in het pakketje wat de alert getriggerd heeft. Het zegt helemaal niets over het alert zelf.
Is de output plugin geconfigureerd in snort.conf?
output alert_fast: myalerts
14-01-2006, 07:10 door
ml2mst
Hartelijk dank voor je reactie SirDice!
Het valt dus reuze mee...
De paranoya blijft jammer genoeg toch. Het is ontstaan toen
ik in 1987 mijn eerste bulltinboard begon te draaien.
Dankzij je reactie, is het echter weer een stuk minder dan
afgelopen weken.
Hartelijke groeten,
Marti
Het valt dus reuze mee...
De paranoya blijft jammer genoeg toch. Het is ontstaan toen
ik in 1987 mijn eerste bulltinboard begon te draaien.
Dankzij je reactie, is het echter weer een stuk minder dan
afgelopen weken.
Hartelijke groeten,
Marti
Just curious:
Bekijk je zulke dingen omdat je het interessant vindt, of ben je echt bang
voor inbraak?
Bekijk je zulke dingen omdat je het interessant vindt, of ben je echt bang
voor inbraak?
15-01-2006, 21:14 door
SirDice
De info over het pakketje is leuk.. Maar daar zul je, op
deze manier, weinig aan zien. Al helemaal niet of er iemand
echt zit te rotzooien of dat dit normale Internet ruis is..
Veel interessanter is de alert of het hele pakketje (dus
inclusief de data).
deze manier, weinig aan zien. Al helemaal niet of er iemand
echt zit te rotzooien of dat dit normale Internet ruis is..
Veel interessanter is de alert of het hele pakketje (dus
inclusief de data).
16-01-2006, 20:04 door
ml2mst
@ root: laten we het gezonde nieuwsgierigheid noemen ;)
@ SirDice: dit logbestand fragment is dus eigenlijk niets
zeggend?
Door de antwoorden van SirDice, begin ik toch het idee te
krijgen, dat ik als een speer op zoek moet naar documentatie
over Snort. Ik heb namenlijk niets aan de configuratie
gedaan. Heb het RPM pakket via Yast2 geinstalleerd en dat
was het dan. Ik heb uit de laatste boodschap van SirDice
brepen dat deze logfiles dus vrijwel niets zeggend zijn in
deze vorm.
Dat wordt dus weer de nodige uurtjes lezen (wat ik overigens
graag doe).
Maar goed, mijn nieuwe MultiOS release heeft de hoogste
prioriteit, als ik die heb vrijgegeven, kan ik me eens
lekker gaan verdiepen in Snort...
Hartelijke groeten,
Marti
@ SirDice: dit logbestand fragment is dus eigenlijk niets
zeggend?
Door de antwoorden van SirDice, begin ik toch het idee te
krijgen, dat ik als een speer op zoek moet naar documentatie
over Snort. Ik heb namenlijk niets aan de configuratie
gedaan. Heb het RPM pakket via Yast2 geinstalleerd en dat
was het dan. Ik heb uit de laatste boodschap van SirDice
brepen dat deze logfiles dus vrijwel niets zeggend zijn in
deze vorm.
Dat wordt dus weer de nodige uurtjes lezen (wat ik overigens
graag doe).
Maar goed, mijn nieuwe MultiOS release heeft de hoogste
prioriteit, als ik die heb vrijgegeven, kan ik me eens
lekker gaan verdiepen in Snort...
Hartelijke groeten,
Marti
Gebruik een snortlog analyzer , dit maakt het al iets
gemakkelijker.. Het belangrijkste is natuurlijk dat je
snort goed geconfigureerd is. Goede snortlog analyzer =
http://jeremy.chartier.free.fr/snortalog/
gemakkelijker.. Het belangrijkste is natuurlijk dat je
snort goed geconfigureerd is. Goede snortlog analyzer =
http://jeremy.chartier.free.fr/snortalog/
17-01-2006, 23:25 door
SirDice
eerst snort maar eens de juiste dingen laten loggen... dan
kan er altijd later nog een loganalyzer overheen ;)
kan er altijd later nog een loganalyzer overheen ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
