Szczególy klastra: [scan] open proxy scan Nazwa: [scan] open proxy scan Data: 2012-05-16 17:30:06 Poziom klasyfikacji: Attack Rdzeń: [scan] open proxy scan Porty: 1080/TCP Unikalnych źródeł: 6 Rozmiar sygnatury: 259 Sygnatura klastra: alert tcp $EXTERNAL_NET any -> $HOME_NET 1080 (msg:"[scan] open proxy scan"; flow:to_server,establis\ hed; content:"CONNECT edit.yahoo.com\:443 HTTP/1.1|0d 0a|User-Agent\: Mozilla/4.0 (compatible\; MSIE\ 7.0\; Windows NT 5.1\; Maxthon\; Mozilla/4.0 (compatible\; MSIE 6.0\; Windows NT 5.1\; SV1) )|0d 0a\ |Proxy-Connection\: Keep-Alive|0d 0a|Content-Length\: 0|0d 0a|Host\: edit.yahoo.com|0d 0a|Pragma\: n\ o-cache|0d 0a 0d 0a|";) Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.

© Copyright by 2007    (Aktualizacja strony: 2012-05-17 13:05:00 CEST)