Esto es un trama ethernet generada por el propio snort, concretamente por el preprocesador sfPortscan para indicar la detección de un posible scaneo de puertos. Se distingue de un paquete normal porque la dirección MAC es MACDADMACDAD (tal como viene indicado en el fichero README.sfportscan). Lo "malo" es que si estás capturando en una interfaz linux cooked (-i any), esta trama tiene un formato diferente a la captura (es una trama ethernet normal).00000000 4d 41 43 44 41 44 4d 41 43 44 41 44 08 00 45 00 MACDADMACDAD..E. 00000010 00 9b 00 00 40 00 00 ff 8d 73 ac 18 03 86 d9 7c ....@....s.....| 00000020 62 d6 50 72 69 6f 72 69 74 79 20 43 6f 75 6e 74 b.Priority.Count 00000030 3a 20 31 36 0a 43 6f 6e 6e 65 63 74 69 6f 6e 20 :.16.Connection. 00000040 43 6f 75 6e 74 3a 20 32 30 0a 49 50 20 43 6f 75 Count:.20.IP.Cou 00000050 6e 74 3a 20 35 0a 53 63 61 6e 6e 65 64 20 49 50 nt:.5.Scanned.IP 00000060 20 52 61 6e 67 65 3a 20 31 30 2e 38 31 2e 39 2e .Range:.10.81.9. 00000070 34 37 3a 31 30 2e 38 31 2e 39 2e 32 32 35 0a 50 47:10.81.9.225.P 00000080 6f 72 74 2f 50 72 6f 74 6f 20 43 6f 75 6e 74 3a ort/Proto.Count: 00000090 20 30 0a 50 6f 72 74 2f 50 72 6f 74 6f 20 52 61 .0.Port/Proto.Ra 000000a0 6e 67 65 3a 20 30 3a 30 0a nge:.0:0.
Technorati Tags: snort
No hay comentarios:
Publicar un comentario