0

数日前にポートスキャン ログに関する質問を投稿しましたが、これは新しいポートスキャン ログに関する別の質問です。

時刻: 04/13-15:29:41.660134 event_id: 6042 xxxx -> xxxx(portscan) UDP Filtered Portscan Priority Count: 0 Connection Count: 200 IP Count: 66 Scanner IP Range:xxxx:xxxx Port/Proto Count: 32 Port /プロト範囲: 137:17500

このログから、送信元 IP、送信先 IP、送信元ポート、送信先ポートの 4 つを特定しようとしています。

私が望む他のいくつかのオプションは、必要に応じて、ポートスキャンのタイプとこのスキャンのフラグです。

繰り返しますが、提供できるヘルプに感謝します。

4

1 に答える 1

1

プロトコルは UDP だったので、利用可能なフラグはありません (これは TCP のものです)。ログは (正しく読んでいれば) 137 から 17500 の範囲で 32 個のポートがテストされたことを示唆しているため、137 と 17500 以外の 30 個のポートを選択すると、それがスキャンされました。より具体的にするには、情報を集約解除し、各アラートを独自のイベントに分割して個別にログに記録する方法を見つける必要があります。

于 2011-05-31T06:04:21.820 に答える