โครงสร้าง snort
- An Event structure containing
- generator ID
- snort ID
- snort ID Revision number
- classification ID
- priority
- event ID
- event reference
- event reference time
- Event packet information containing
- packet timestamp
- source IP
- destination IP
- source port/Icmp code
- dest port/icmp type
- protocol number
- event flags
ส่วนเพิ่มเติม , flow records from Snort (stream4) look like this:
- start time
- end time
- server (responder) IP
- client (initiator) IP
- server port
- client port
- server packet count
- client packet count
- server byte count
- client byte count
- flow start time
- last packet time
- initiator packet count
- initiator bytes
- responder packet count
- responder bytes
- initiator TCP flag aggregate (if any)
- responder TCP flag aggregate
- last packet originator (initiator/receiver)
- alerts on flow (count)
- flow flags (bitmap)
พบช่องโหว่ DCE/RPC preprocessor ที่รวมใน Snort 2.6.1.
ช่องโหว่นี้พบใน snort version 2.6.1, 2.6.1.1, 2.6.1.2, และ 2.7 beta 1.
เราสามารถดู snort/src/dynamic-preprocessors/dcerpc/ directory of Snort CVS แสดงผล dcerpc.c และ smb_andx_decode.c ทั้ง 2 ส่วนนี้มีช่องโหว่ software snort ที่สามารถเข้าถึงระบบได้
อ่านเพิ่มเติมได้ที่ http://www.snort.org/docs/advisory-2007-02-19.html
link http://taosecurity.blogspot.com/2007/02/snort-dcerpc-vulnerability-thoughts.html
นนทวรรธนะ สาระมาน
Nontawattana Saraman
Nontawattana Saraman