0

几天前我发布了一个关于 portscan 日志的问题,但是这是一个单独的问题,涉及新的 portscan 日志。

时间:04/13-15:29:41.660134 event_id:6042 xxxx -> xxxx(portscan) UDP Filtered Portscan Priority Count: 0 Connection Count: 200 IP Count: 66 Scanner IP Range:xxxx:xxxx Port/Proto Count: 32 Port /原型范围:137:17500

我试图从这个日志中确定 4 件事,源 IP、目标 IP、源端口、目标端口。

我想要的其他一些选项,但如有必要,将是 portscan 的类型和此扫描的标志。

再次感谢您提供的任何帮助。

4

1 回答 1

1

协议是 UDP,所以没有可用的标志(这是 TCP 的东西)。日志表明(如果我没看错的话)测试了 32 个端口,运行范围从 137 到 17500,因此选择 137 和 17500 以外的 30 个端口,这就是扫描的内容。为了更具体,您需要找到一种方法来分解信息并将每个警报分解为自己的事件并单独记录它们。

于 2011-05-31T06:04:21.820 回答