snort和portscan loggin

我几天前发布了一个有关portscan日志的问题,但这是一个单独的问题,涉及新的portscan日志。 时间:04 / 13-15:29:41.660134 event_id:6042 x.x.x.x-> x.x.x.x(portscan)UDP过滤的端口扫描 优先计数:0 连接数:200 IP数:66 扫描仪IP范围:x.x.x.x:x.x.x.x 端口/原型数:32 端口/协议范围:137:17500 我正在尝试从此日志中确定4件事,即源IP,目标IP,源端口,目标端口。 我想要(但需要)其他一些选项是portscan的类型和此扫描的标志。 再次感谢您提供的任何帮助。     
2020-01-03 2 条评论
分享

没有找到相关结果

    已邀请:

    肉脓措伪

    该协议是UDP,因此没有可用的标志(这是TCP的东西)。日志显示(如果我没看错的话)测试了32个端口,运行范围从137到17500,因此请选择137和17500以外的30个端口,然后进行扫描。为了更具体,您将需要找到一种方法来分解信息并将每个警报分为自己的事件并分别进行记录。     
    2020-01-03 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.11301207542419