snort frage
Posted: 2005-07-08 09:54
Hallo,
gestern haben die Reports von snort zum ersten mal etwas ausgegeben, was mich doch etwas stutzig macht.
# of from to method
8 <ip-address> 194.95.226.25 ATTACK-RESPONSES 403 Forbidden
Das Logfile von snort zeigt mir diese acht Pakete an.
Die Logs im Apachen habe ich schon gefunden. Es hat jemand von dieser IP auf diesem Rechner gesurft und dabei ein paar 403 bekommen.
Was mich jetzt nur interessiert, wieso werden diese 8 Packete angezeigt?
Danke,
DJ
gestern haben die Reports von snort zum ersten mal etwas ausgegeben, was mich doch etwas stutzig macht.
# of from to method
8 <ip-address> 194.95.226.25 ATTACK-RESPONSES 403 Forbidden
Das Logfile von snort zeigt mir diese acht Pakete an.
Code: Select all
18:23:24.776184 IP <ip-address>.www > c25.shuttle.de.61148: P 1979754474:1979754932(458) ack 3848877404 win 7504
18:23:25.146544 IP <ip-address>.www > c25.shuttle.de.61148: P 0:458(458) ack 1 win 7504
18:23:25.592438 IP <ip-address>.www > c25.shuttle.de.61147: P 1971961980:1971962438(458) ack 3847958316 win 10720
18:23:25.901431 IP <ip-address>.www > c25.shuttle.de.61147: P 0:458(458) ack 1 win 10720
18:23:31.576627 IP <ip-address>.www > c25.shuttle.de.61148: P 915:1373(458) ack 1162 win 10208
18:23:34.414432 IP <ip-address>.www > c25.shuttle.de.61148: P 4233:4691(458) ack 2472 win 12483
18:23:37.321448 IP <ip-address>.www > c25.shuttle.de.61151: P 1993717151:1993717609(458) ack 3852929878 win 6570
18:25:16.088830 IP <ip-address>.www > c25.shuttle.de.61153: P 2092138716:2092139174(458) ack 3877872502 win 6630
Was mich jetzt nur interessiert, wieso werden diese 8 Packete angezeigt?
Danke,
DJ