用snort+acid架构网络IDS(全文)

45 D5 37 43 00 16 79 95 AE CA 00 00 00 22 4E 6B  E.7C..y......"Nk
80 24 CF E4                                      .$..


=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

08/10-14:30:59.386450 10.5.3.61 -> 79.18.229.0
ICMP TTL:255 TOS:0xC0 ID:47289 IpLen:20 DgmLen:68
Type:3  Code:10  DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED HOST FILTERED
** ORIGINAL DATAGRAM DUMP:
79.18.229.0:17877 -> 10.5.3.61:14147
TCP TTL:212 TOS:0x0 ID:22910 IpLen:20 DgmLen:40
**U***S* Seq: 0x167995  Ack: 0xAECA0000  Win: 0x4E6B  TcpLen: 0
** END OF DUMP
00 00 00 00 45 00 00 28 59 7E 00 00 D4 06 4B FD  ....E..(Y~....K.
4F 12 E5 00 0A 05 03 3D 45 D5 37 43 00 16 79 95  O......=E.7C..y.
AE CA 00 00 00 22 4E 6B 80 24 CF E4              ....."Nk.$..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

MIX flood（UDP/TCP/ICMP）
数据包特征：
1）很多不同的IP（伪造的）向同一台服务器发送数据包，不管是哪个国家的都有；
2）数据包长度很小；
3）类型：type:0x800
4）IpLen:20－－很整齐
5）DgmLen:40－－很整齐
7）TTL在不断变化，且大部分不是32、64、128等
8）各种攻击混和在一起，但是各种攻击数据包的特征仍然可以看到
9）混和攻击的样本：
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

IP Len field is 17 bytes smaller than captured length.
    (ip.len: 29, cap.len: 46)
08/10-14:47:16.467838 233.55.241.0:43266 -> 10.5.3.61:22270
UDP TTL:251 TOS:0x0 ID:32450 IpLen:20 DgmLen:29
Len: 1
00                                               .

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

//很明显，第一个是UDP攻击包

IP Len field is 10 bytes bigger than captured length.
    (ip.len: 92, cap.len: 82)
08/10-14:47:16.467956 80.20.134.0 -> 10.5.3.61

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	全文 网络 架构 攻击 安装 数据 服务器 echo 保存 include