web-dev-qa-db-fra.com

Snort Alert Log Simple Question

J'analyse des journaux d'alerte Snort et je ne peux pas comprendre ce que [1:1071:6] signifie dans

10/12-12:44:28.793118  [**] [1:1071:6] WEB-MISC .htpasswd access [**] [Classification: Web Application Attack] [Priority: 1] {TCP}

Ou disons [1:100000160:2] Dans l'autre cas.

Je n'ai pas pu trouver ce que cela signifie ni dans des manuels ni dans les règles.

Comment puis-je comprendre quel format Snort Snort Lines est dans et quels champs inconnus représentent?

5
user1880405

Ces chiffres sont une combinaison d'une identification unique et d'une source de données. Chaque signature de snort est identifiée par un SID (ID de signature) et un numéro de révision. Le SID est utilisé pour identifier de manière unique cette signature spécifique et la révision est le numéro d'édition de cette signature. Donc, la signature originale est rev:1;, alors s'il est mis à jour, alors incrémenté à rev:2; etc.

Il y a aussi ce qu'on appelle une gid (ID de générateur). Les générateurs sont des routines d'analyse différentes dans le processus de snort. Spécifiquement, chaque préprocesseur a sa propre gid, le système de marquage dispose d'une GID et le moteur de règles a un gid. Le moteur de règlement est le sous-système de traitement qui traite en réalité des paquets contre les signatures trouvées dans tous les fichiers de règles divers et divers.

Maintenant, mettez tout ce contexte à bon usage, la chaîne [1:1071:6] Dites-nous que cette alerte a été produite par GID 1 et déclenchée par SID 1071 révision 6. Comme il dispose d'un GID de 1, nous savons que cela peut être trouvé dans les fichiers de règles. J'exécute habituellement cette commande pour afficher une règle spécifique:

grep 'sid:1071;' /etc/snort/rules/*.rules

Courir aujourd'hui, cela me donne le résultat:

/etc/snort/rules/VRT-server-webapp.rules:# alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SERVER-WEBAPP .htpasswd access"; flow:to_server,established; content:".htpasswd"; fast_pattern:only; metadata:ruleset community, service http; classtype:web-application-attack; sid:1071; rev:13;)
8
Scott Pack