Seminararbeit zum Thema. Loganalysis Tools. im Wahlpflichtfach. Dataminig für die IT Sicherheit

HochschuleKarlsruhe TechnikundWirtschaft Seminararbeit zumthema LoganalysisTools imwahlpflichtfach DataminigfürdieIT Sicherheit AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Inhaltsverzeichnis Begriffsbestimmung...3 Logdatei...3 Loganalyse...3 Loganalyse Werkzeuge...4 Testumgebung...4 Testaufbau...4 GrafischeDarstellungTestaufbau...6 SnortALog...7 Allgemein...7 Installation...8 Konfiguration...9 Funktionsweise...9 FwlogwatchAllgemein... 11 Installation... 12 Konfiguration... 12 Funktionsweise... 15 Fazit... 17 WeitereLoganalysisTools... 18 ACID(AnalysisConsoleforIntrusionDatabases)... 18 Literaturverzeichnis... 19 Anhänge... 20 Anhang1(LogfilevonSnort)... 20 Anhang2(AusgabeSnortALog)... 34 Anhang3(KonfigurationdateiFwlogwatch)... 41 AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Begriffsbestimmung Logdatei EineLogdatei(engl.logfile)isteinautomatischerstelltesProtokollallerVorgängevonProzessenaufeinemComputerineinembestimmtenZeitraum. InunseremspeziellenFall,sinddieInformationenvonBelanginVerbindungs Logdateien, welchevonids 1,FirewallsundanderenIS Systemen 2 erzeugtwerden.dieseartvonlogdateienbeinhaltetzusätzlichdenabsender(ip Adresse),Protokoll,PortsundzusätzlicheNachrichtenbzw.Informationen. Loganalyse DurchdieseFilterunglassensichVorkommnissedienichtals normal geltenfindenundder AdministratorkanndannEntscheiden,obhiereinAngriffstattgefundenhatodernicht. AlsLoganalyse(engl.loganalysis)bezeichnetmandenVersuch,überregelbasierteSysteme, AbhängigkeitenundAuffälligkeitenineinerLogdateizufiltern,diesezubewertenundauszugeben. LoganalyseisteinerderamwenigstenbeachtetenAspektevonEinbruchserkennung.HeutzutagehatjederDesktopeinAntivirusprogramm,FirmenmitmehrerenFirewallsundselbst EndbenutzerkaufendieneuestenSecurityTools.DochwerüberwachtdieMengenanInformationenwelchedieProgrammegenerieren.Nochschlimmer,werüberwachtdieAuthentifizierungslogsvonEmail undwebservern? EineVielzahlvonAngriffenhätteniestattgefunden(oderhättefrühergestopptwerdenkönnen)wennAdministratorensichumdieÜberwachungIhrerLogdateiengekümmerthätten. (Cid) DaesverschiedeneArtenderLoganalysegibt,sozumBeispielFirewall Loganalyse,Webser ver Loganalyse,FTP Loganalyseusw.,konzentriertsichdieseAusarbeitungaufFirewall LoganalyseimKontextvonIT Sicherheit. 1 IntrusionDetectionSystem EinbruchErkennungsSoftware 2 AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft SnortALog Fwlogwatch ACID Logcheck (VerweisaufPeterFast,HS Karlsruhe) Logwatch (VerweisaufPeterFast,HS Karlsruhe) Testumgebung DamitdieToolsauchgetestetwerdenkönnen,undnichtnur theoretischerörtertwerdenmüssen,wurdeeinevirtuellemaschine mitubuntu 4 9.04undeinKernelderVersion2.6.28verwendet. ZusätzlichwurdenochSnort 5 inderversion2.8.4.1installiertundkonfiguriertumüberhaupt Logfiles,aufgrundvonFirewallaktivitäten,erzeugenzukönnen.Die InstallationvonSnortkannübersudo apt-get install snortgestartet werden.diekonfigurationjedocherweistsicheinwenigkomplexerund sollnichtteilderausarbeitungwerden. Loganalyse Werkzeuge UmherauszufindenwelcheLoganalyse WerkzeugeesgibtundwelcheFunktionalitätensie besitzen,wurdeeineauswahlderpaketeinossim 3 unddasinternetalsquellenherangezogen.diesucheergabfolgendetreffer(auswahlderwichtigsten): WeiterführenderLinkzumThemaSnortKonfiguration:http://www.prolinux.de/work/snort Testaufbau ZuTestenwurdezunächteinPortscandurchgeführtumdieReaktionderFirewallzutesten (TestweisewurdenderHTTPundderSMTPPortgeöffnetumüberhaupteineReaktionder Firewallzuprovozieren). DieerzeugtenLogfileswurdendannverwendet,umdieLoganalyseprogrammedamitzu testen. 3 OpenSourceSecurityInformationSystemhttp://www.ossim.net/ 4 Ubuntuhttp://www.ubuntu.com,freieLinuxdistribution 5 Snorthttp://www.snort.org,IntrusionDetectionSystemfürUnixundWindows AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Portscanner(MacOsX) DieReaktionSnortwareinEintragindasAlertfile: PortscaneintragimSnort Alterfile WebApplic.AttakimSnortAlertlog NachdemPortscann,wurdenMithilfedesMetasploitFrameworks 6,einFrameworkfürPentestingundIDStesting,diverseHTTPundSMTPAngriffedurchgeführt.EinHTTPAngriffführtebeiSnortzufolgendemAlertfile Eintrag: NatürlichhatdasAlertfilevonSnortausmehrerenLoginträgenbestanden,dieaberdenUmfanghiersprengenwürden(Anhang1). DieserVersuchsaufbauhattezurFolge,dassdiedynamischenFunktionalitäten(z.B.aktive ReaktionaufAngriffe)derProgrammenichtgetestetwerdenkönnen,wohlaberdiestatischen(z.B.ErzeugungvonZusammenfassungen). 6 http://www.metasploit.com AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Grafische Darstellung Testaufbau Angreifer logtvorfälle Opfer (Ubuntu) analysierenlogfiles SnortALog Fwlogwatch erzeugenausgabe AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft SnortALog Allgemein SnortALogisteinTool,welchesZusammenfassungenvonLogdateienerstellt,umdasAnzeigenvonNetzwerkangriffen,welchevonIDSerkanntwurden,zuerleichtern.EserstelltCharts inhtml,pdfundplain Text.EsarbeitetmitallenVersionenvonSnortundkann3verschiedeneFormateanalysieren:syslog,fastundfullsnortalerts. HomepagedesProjekts:http://jeremy.chartier.free.fr/snortalog/ Quelle:(Freshmeat.org),KlicksaufdieProjektwebseitebeiFreshmeat Quelle:(Freshmeat.org),PopularitätundDynamik AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Installation SnortALogistsowohlfürUnixalsauchfürWindowssystemeunterGNU/GPLverfügbar.Es gibtkeineeigentlicheinstallation,sondernsnortalogisteinperlskript,dassjedesmal, wenneineausgabeerzeugtwerdensoll,manuellodermithilfeeinesskriptes,gestartet werdenmuss. DieInstallationlässtsicheheralsVorbereitungbeschreiben,dennSnortALogist,wennder vollefunktionsumfanggenutztwerdensoll,voneinervielzahlvonanderenpaketenund Librariesabhängig. WiebereitserwähntistSnortALogeinPerlskript,womitklarist,dasseinePerlinstallationauf jedenfallverfügbarseinmuss. NachfolgendsollennundiebenötigtenPakete 7,umalleSnortALogFunktionennutzenzu können,aufgelistetwerden(chartier,2004): NatürlichwirdeinstableBuildvonSnortALogbenötigt.DieaktuelleVersion(Stand: 11.07.2009)istV.2.4.2 FürdasErzeugenvongrafischaufbereitetenAusgaben,müssendiePakete gd 2.0.11.tar.gz(PNGandJPGFormat) GDGraph 1.39.tar.gz GDTextUtil 0.85.tar.gz Installiertwerden. ZumErzeugenvonHTMLDokumentenwerdendiePakete htmldoc 1.8.23 source.tar.gz HTML HTMLDoc 0.07.tar.gz benötigt. SnortALogbietetzusätzlichaucheineGUIan.DiesekannmitdenPaketen Tk 800.024.tar.gz perl Tk 800.024 2.i386.rpm bereitgestelltwerden. 7 DownloadderPaketeunter,http://jeremy.chartier.free.fr/snortalog/download.html AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Konfiguration EineKonfigurationvonSnortALogistnichtnotwendig.AußerdasErstellenvonGrafikenund PDF smussinderkonfigurationsdateiaktiviertwerden.diesistaberausführlichinderdokumentationerklärt. Funktionsweise SnortALoglässtsichnunüberdieKommandozeilestarten.Jenachdemwasmanfüreinen Reportmöchte,lassensichverschiedeneParameterbenutzen.ImNachfolgendensindeinige Anwendungsbeispielegegeben: 1catfile.logs./snortalog.pl r i ofile.html report SnortALogerzeugteinHTMLDokumentwelchesunterfile.htmlgespeichertwird. 2catfile.logs./snortalog.pl r ggif o/tmp/file.html report DasgleichewieobenmitgrafischenElementen. 3catfile.logs./snortalog.pl ofile.pdf report SnortALogerzeugteinPDFDokument,welchesunterfile.htmlgespeichertwird. DieAusgabedesTests2befindetsichimAnhang.(Anhang2) AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft WennmansichfürdieInstallationdergrafischenOberflächeentscheidet,kannmandas ganzeetwasbequemer(ohnekonsole)machen. (Softpedia)GUIvonSnortALog1 (Softpedia)GUIvonSnortALog2 AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Fwlogwatch Allgemein FwlogwatcherzeugtZusammenfassungenvonSnort Logs,ipchains,netfilter/iptables,ipfilter,CiscoIOSundCiscoPIXLog DateieninText undhtml FormundbesitzteineMengevon Optionen,umrelevanteMusterinVerbindungsversuchenzufindenundanzuzeigen.Mitden gefundenendatenkannesanpassbareberichte,überzwischenfälle,auseinemmusterge nerierenunddieseanmissbrauchs KontaktebetroffenerRechneroderCERT Koordinierungszentrensenden.LetztendlichkannesauchalsDämonlaufenundAuffälligkeitenberichtenoderGegenmaßnahmen,inFormvonEmailbenachrichtigungenversenden, SkripteausführenodersogardieFirewallRegelnanpassen,starten. (angepasstvondebian Packages) FwlogwatchwurdevonBorisWesslowskiinCEntwickeltundstehtunterGNU/GPLzur Verfügung.(Wessolowski) HomepagedesProjekts:http://fwlogwatch.inside security.de/ Quelle:(Freshmeat.org),KlicksaufdieProjektwebseitebeiFreshmeat Quelle:(Freshmeat.org),PopularitätundDynamik AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Installation FwlogwatchistaufallenUnixbasierendenBetriebssystemenlauffähig.DieInstallationgestaltetsichfolgendermaßen: ZuerstmussFwlogwatchheruntergeladenundinstalliertwerden.InUbuntukannmiteinem einfachenkonsolenaufruf,derintegriertelinuxupdater(apptitude)gestartetunddiebenötigtenpaketeheruntergeladenundinstalliertwerden:sudo apt-get install fwlogwatch Konfiguration Fwlogwatchunterstützt3verschiedeneModi(Spenneberg,2006): Summary Report RealtimeResponse DerSummarymoduserzeugtausLogfiles,mitmehrerentausendEinträgen,inkurzerZeit, einezusammenfassungdereinträge.damitkannmanquasiadhocdenzustandderfirewall indenletztenstundenbetrachtenundsehenob,vonwemundwelcherichtlinienverletzt wurden. ImReportmoduskannFwlogwatchautomatischEmailsmitaktuellenVorfällengenerieren undandenadministratordesangreifendenrechnersschicken(abuse).diesefunktionist mitvorsichtzubenutzendenneskannzuspamemailsführen. ZurKonfigurationliefertFwlogwatcheineKonfigurations Datei(fwlogwatch.config)mit,die fürjedessystemindividuellangepasstwerdenmuss.abbildungxzeigteinenausschnittder Konfigurationsdateiim Auslieferungszustand. ZuguterletztkannmanFwlogwatchimEchtzeitModus(Deamonmodus)betreiben.Hierbei werdeninechtzeitdielogdateienanalysiertundbeibedarfaktioneneingeleitet.sokönnen, wieimreportmodus,emailsandenadministratorgesendetwerden,abereskönnenauch automatischskriptegestartetwerden,dieaufdieangriffereagieren.dieseskriptekönnen dannauchdieiptabelsderfirewalladaptieren,sodassangriffe,gleicherart,künftigabgewehrtwerden. FwlogwatchunterstütztzudemmehrereLogformate.SozumBeispielkönnenipchains,ipfilter,snort,netscreenundnetfilterLogdateienanalysiertwerden. Fwlogwatchkanneigenständig,beierkanntenGefahren,EmailsandenAdministrator versendenunddenadministratordesangreifendenrechnerssenden. AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354 DiebereitserwähnteRealtimeansicht,inFormeinesHTMLDokuments,zeigtdieaktuelle SituationderFirewallan.AuchkannFwlogwatchimRealtimemodusdieRegelnderFirewall(ipchains),beieinemerkanntenAngriff,anpassen. BeieinerStandardinstallation,istdieKonfigurationsdateiunter/etc/fwlogwatchzufinden.(SieheKonfiguration).JederParameteristinnerhalbderKonfigurationsdateierklärt. NacherfolgreicherKonfigurationkannfwlogwatchbenutztwerden. Tipp: UmFwlogwatchimDeamonModuszubetreiben(SieheKonfiguration),alsodenEchtzeitmoduszustarten,isteinkleinerTrickvonNöten.ManmussnachderInstallationzuersteine NeukonfigurationdesFwlogwatchPaketesdurchführen,wasmitsudo dpkg-reconfigure fwlogwatchmöglichist.hierwirdmannungefragtobmandendeamonmodusstartenwill, wasmanmitjabeantwortenmuss. $Id:fwlogwatch.config,v1.532004/03/2313:09:21bwExp$ Samplefwlogwatchconfigurationfile Thevaluesfilledinormentionedinthedescriptionarethedefaultvalues, youonlyneedtouncommentanoptionifyouchangeit'svalue. Validparameterstobinaryoptionsareon/yes/trueandoff/no/false. Whitespaceandcommentsareignoredanywhereinthefile,casedoesnot matter. Includefiles Theoption'include_file'canbeusedtoincludeexternalconfiguration files. include_file= Globaloptions Use'verbose'ifyouwantextrainformationandlogmessages. Useittwiceforevenmoreinfo.fwlogwatchisquietbydefault. Commandlineoption: v[v] verbose=no verbose=no AusschnittFwlogwatchKonfiguration1

HochschuleKarlsruhe TechnikundWirtschaft ImTestwurdediefolgendeKonfigurationsdateiverwendet(eswurdennurdiewichtigsten Parameterausgewählt[Anhang3beschreibtdiekompletteKonfiguration]). fwlogwatch.config verbose = no <-erweiterte Ausgabe Loggingmodus resolve_hosts = no <-Ausgabe der IP Adresse bei URLs resolve_services = no <- src_ip = on <-Betrachten source IP beim Vergleich von Paketen dst_ip = on <-Betrachten dest. IP beim Vergleich protocol = on <-Betrachten d. Protokols beim Vergleich src_port = on <-Betrachten d. Source Ports beim Vergleich dst_port = on <-Betrachten d. Destination Ports beim Vergleich tcp_opts = on <-Betrachten d. TCp Optionen beim Vergleich sort_order = <-Reihenfolge der Sortierung bei der Ausgabe start_times = yes <-Betrachtung der Startzeit end_times = yes <-Betrachtung der Endzeit duration = no <-Betrachtung der Dauer html = yes <-HTML Ausgabe ja/nein output = /var/log/snort<-ort der HTML Ausgabe recipient = <-Empfänger wenn Emails versendet warden sollen realtime_response = yes<-benutzung des Realtimemodus run_as = nobody <-Ausführen als server_status = yes <-Benutzung des eingebauten Webservers bind_to = 127.0.0.1 <-IP des Webservers listen_port = 888 <-Port des Webservers status_user = admin <-Benutzer für.htacess status_password = sjdkdus3dh.s <-Passwort für.htacess refresh = 30 <-Refresh Intervall in sek. TestkonfigurationvonFwlogwatch1 AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Funktionsweise Fwlogwatchistnunsokonfiguriert,dasswirdieFunktionentestenkönnen.Leidermussten wirdochimlaufedestestsfeststellen,dassfwlogwatchsnortlogszwarunterstüzt,diese aberineinembestimmtenformatvorliegenmüssen,dassnichtzurverfügungstand.somit konntenkeineaussagekräftigenreportserstelltweren. EskonntenurdieWeboberflächegetestetwerdenundbeimrestlichenFunktionsumfang, denangabendesherstellervertrauengeschenktwerden. AusgabederHilfevonFwlogwatchaufKonsole:fwlogwatch h AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft AusgabevonFwlogwatchimRealtimeResponseModus AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Fazit BeideToolssindfürdieAnalysevonFirewall Logdateiengeeignet.JedochhatsichSnortA Log,imZusammenspielmitSnortalsIDS,alswesentlichumfangreicherundmächtigerherausgestellt.DieAusgabevongrafischenDarstellungen(Anhang2)inFormvonHTMLoder PDFDokumentenhobsichvondenAusgabemöglichkeitenvonFwlogwatchdeutlichhervor. SnortALog Fwlogwatch Betriebssystem/Portabilität Unix,Windows Unix GütederDokumentation Gut,darausführlicheBeschreibungenundBeispiele Nichtvorhanden,nurErklärungenimconfigFile vorhandensind(englisch) VersendenvonEmails nein ja ErzeugenvonHTMLAusgaben Ja* ja AusführenvonSkriptenbeierkanntem Angriff** nein Ja UnterstützteLogformate** Installation Ipchains,netfilter/iptables,Cisco IOS,NetScreen,XPFirewall, ElsaLancomrouter,SnortIDS Einfachperaptitude(apt get) Konfiguration Nichtobligatorisch Kompliziertdurchfehlende Doku,einzigKommentareim Quelltext Foren/Community/Literatur ZahlreicheForenbeitrageund Diskussionsforenvorhanden WenigeForenbeitrageund Hilfestellungen Einarbeitungszeit SnortIDS,Cisco PIX,Checkpoint,Netfilter, Packetfilter,Netscreen,Brick Nichtnotwendig,aberdurch dieinstallationderzusätzlichenpaketeentstehtaufwand >nichttrivial EhergeringdakeineKonfigurationnötigundBeispielenin derdoku Mittel,denndasProgramm musserstrichtigkonfiguriert werden,wasohnedokunicht immerganzeinfachist Ja DefinitionvonregulärenAusdrücken** Nein DomänenundIP Adressenermitteln Ja* Ja ErstellenvonPDFs Ja* Nein ErzeugenvonGrafiken Ja* Nein GrafischeOberfläche Ja* Nein *DurchInstallationderzusätzlichenPakete **Herstellerangaben,imEinzelnennichtüberprüft Grundsätzlichlässtsich,trotzerhöhtemInitialaufwand,derEinsatzvonSnortALogineiner Produktivumgebungempfehlen. AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Weitere Loganalysis Tools WährendmeinerRecherchesindmirweitereLoganalysisToolsbegegnet,diehieraberaus Zeitgründennichtevaluiertwerdenkonnten. ACID (Analysis Console for Intrusion Databases) ACIDisteineaufPHP basierendeanalyseengine,zumsuchenundverarbeitenvonsicher heitsvorfällen,dievonverschiedenenids Systemen,FirewallsundNetzwerk Überwachungstoolserkanntwurden. ACIDkannjedochnursolcheDatenverarbeiten,dievorherinseineDatenbankgeschrieben wurden(z.b.snortbietetdiemöglichkeitlogtodatabase). ACIDwurdevonRomanDanyliwentwickeltundstehtunterGNU/GPLzurVerfügung. HomepagedesProjekts:http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html Quelle:(Freshmeat.org),KlicksaufdieProjektwebseitebeiFreshmeat Quelle:(Freshmeat.org),PopularitätundDynamik AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Literaturverzeichnis CHARTIER,J.(2004).SnortALog v2.3.0 (Dokumentation). Cid,D.B.(n.d.).Log analysis for intrusion detection.retrieved0520,2009,from Infosecwriters:http://www.infosecwriters.com/text_resources/pdf/Log_Analysis_DCid.pdf Debian Packages.(keinDatum).Abgerufenam15.052009von http://packages.debian.org/de/sid/fwlogwatch Freshmeat.org.(keinDatum).Freshmeat.Abgerufenam21.062009vonFreshmeat: http://freshmeat.net/projects/acid/date_metrics Freshmeat.org.(keinDatum).Freshmeat.Abgerufenam21.062009vonFreshmeat: http://freshmeat.net/projects/snortalog/date_metrics Freshmeat.org.(keinDatum).Freshmeat.Abgerufenam21.062009vonFreshmeat: http://freshmeat.net/projects/fwlogwatch/date_metrics Softpedia.(keinDatum).Softpedia.Abgerufenam26.062009vonSoftpedia: http://linux.softpedia.com/screenshots/snortalog_1.jpg Softpedia.(keinDatum).Softpedia.Abgerufenam26.062009vonSoftpedia: http://webscripts.softpedia.com/screenshots/snortalog 14477.png Spenneberg,R.(2006).Linux Firewalls mit iptables & Co.AddisonWesley. Wessolowski,B.(keinDatum).Fwlogwatch.Abgerufenam05.062009vonFwlogwatch: http://fwlogwatch.inside security.de/ AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft Anhänge Anhang 1 (Logfile von Snort) 06/09-20:09:58.573162 10.211.55.2 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:154 DF [**] [1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-20:10:00.118848 10.211.55.2:51241 -> 10.211.55.8:161 TCP TTL:64 TOS:0x0 ID:7599 IpLen:20 DgmLen:64 DF ******S* Seq: 0xDC50B5DF Ack: 0x0 Win: 0xFFFF TcpLen: 44 TCP Options (8) => MSS: 1460 NOP WS: 1 NOP NOP TS: 710198919 0 TCP Options => SackOK EOL [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-20:10:00.119627 10.211.55.2:51242 -> 10.211.55.8:162 TCP TTL:64 TOS:0x0 ID:14796 IpLen:20 DgmLen:64 DF ******S* Seq: 0xF302098A Ack: 0x0 Win: 0xFFFF TcpLen: 44 TCP Options (8) => MSS: 1460 NOP WS: 1 NOP NOP TS: 710198919 0 TCP Options => SackOK EOL [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-20:10:00.415993 10.211.55.2:51785 -> 10.211.55.8:705 TCP TTL:64 TOS:0x0 ID:63412 IpLen:20 DgmLen:64 DF ******S* Seq: 0x45FEAF47 Ack: 0x0 Win: 0xFFFF TcpLen: 44 TCP Options (8) => MSS: 1460 NOP WS: 1 NOP NOP TS: 710198922 0 TCP Options => SackOK EOL [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:249:8] DDOS mstream client to handler [**] [Classification: Attempted Denial of Service] [Priority: 2] 06/09-20:10:09.422132 10.211.55.2:49804 -> 10.211.55.8:15104 TCP TTL:64 TOS:0x0 ID:40112 IpLen:20 DgmLen:64 DF ******S* Seq: 0x2274F879 Ack: 0x0 Win: 0xFFFF TcpLen: 44 TCP Options (8) => MSS: 1460 NOP WS: 1 NOP NOP TS: 710199011 0 TCP Options => SackOK EOL [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2000-0138][xref => http://www.whitehats.com/info/ids111] AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft [**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**] 06/09-20:13:14.119495 10.211.55.8:56756 -> 199.7.54.72:80 TCP TTL:64 TOS:0x0 ID:27710 IpLen:20 DgmLen:636 DF ***AP*** Seq: 0xA66D879E Ack: 0x956686DE Win: 0xB7 TcpLen: 32 TCP Options (3) => NOP NOP TS: 322512 2910874882 [**] [1:3000:4] NETBIOS SMB Session Setup NTMLSSP unicode asn1 overflow attempt [**] [Classification: Generic Protocol Command Decode] 06/09-20:23:22.509713 10.211.55.3:1275 -> 10.211.55.2:139 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:556 ***AP*** Seq: 0x5DEB26ED Ack: 0x24D325BE Win: 0xFFFF TcpLen: 20 [Xref => http://www.microsoft.com/technet/security/bulletin/ms04-007.mspx][xref => http://cgi.nessus.org/plugins/dump.php3?id=12065][xref => http://cgi.nessus.org/plugins/dump.php3?id=12052][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0818][xref => http://www.securityfocus.com/bid/9635][xref => http://www.securityfocus.com/bid/9633] [**] [1:538:15] NETBIOS SMB IPC$ unicode share access [**] [Classification: Generic Protocol Command Decode] 06/09-20:23:27.179280 10.211.55.3:1275 -> 10.211.55.2:139 TCP TTL:128 TOS:0x0 ID:10365 IpLen:20 DgmLen:138 DF ***AP*** Seq: 0x5DEB28F1 Ack: 0x24D3263C Win: 0xFD1D TcpLen: 20 [**] [1:3000:4] NETBIOS SMB Session Setup NTMLSSP unicode asn1 overflow attempt [**] [Classification: Generic Protocol Command Decode] 06/09-20:23:52.984341 10.211.55.3:1277 -> 10.211.55.2:139 TCP TTL:240 TOS:0x10 ID:0 IpLen:20 DgmLen:556 ***AP*** Seq: 0x5E8B9EA1 Ack: 0xB0B9908 Win: 0xFFFF TcpLen: 20 [Xref => http://www.microsoft.com/technet/security/bulletin/ms04-007.mspx][xref => http://cgi.nessus.org/plugins/dump.php3?id=12065][xref => http://cgi.nessus.org/plugins/dump.php3?id=12052][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0818][xref => http://www.securityfocus.com/bid/9635][xref => http://www.securityfocus.com/bid/9633] [**] [1:538:15] NETBIOS SMB IPC$ unicode share access [**] [Classification: Generic Protocol Command Decode] 06/09-20:23:53.982240 10.211.55.3:1277 -> 10.211.55.2:139 TCP TTL:128 TOS:0x0 ID:10382 IpLen:20 DgmLen:138 DF ***AP*** Seq: 0x5E8BA0A5 Ack: 0xB0B9986 Win: 0xFD1D TcpLen: 20 [**] [1:466:4] ICMP L3retriever Ping [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-20:23:55.561383 10.211.55.3 -> 10.211.55.2 ICMP TTL:32 TOS:0x0 ID:10390 IpLen:20 DgmLen:60 Type:8 Code:0 ID:512 Seq:2048 ECHO [Xref => http://www.whitehats.com/info/ids311] [**] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] [Classification: Web Application Attack] [Priority: 1] 06/09-20:56:32.080937 10.211.55.3:1086 -> 10.211.55.8:80 TCP TTL:128 TOS:0x0 ID:2263 IpLen:20 DgmLen:1100 DF ***AP*** Seq: 0x6C46AC03 Ack: 0x2220100E Win: 0x8000 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][xref => http://www.securityfocus.com/bid/11245] [**] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft [Classification: Web Application Attack] [Priority: 1] 06/09-20:56:38.239752 10.211.55.3:1091 -> 10.211.55.8:80 TCP TTL:128 TOS:0x0 ID:2286 IpLen:20 DgmLen:1100 DF ***AP*** Seq: 0x1A3EE047 Ack: 0x27F232F6 Win: 0x8000 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][xref => http://www.securityfocus.com/bid/11245] [**] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] [Classification: Web Application Attack] [Priority: 1] 06/09-20:56:43.206253 10.211.55.3:1096 -> 10.211.55.8:80 TCP TTL:128 TOS:0x0 ID:2311 IpLen:20 DgmLen:1100 DF ***AP*** Seq: 0x8490A446 Ack: 0x2C0D7E31 Win: 0x8000 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][xref => http://www.securityfocus.com/bid/11245] [**] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] [Classification: Web Application Attack] [Priority: 1] 06/09-20:56:48.448152 10.211.55.3:1101 -> 10.211.55.8:80 TCP TTL:128 TOS:0x0 ID:2348 IpLen:20 DgmLen:1100 DF ***AP*** Seq: 0xD1EA2EF1 Ack: 0x31A5DAE3 Win: 0x8000 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][xref => http://www.securityfocus.com/bid/11245] [**] [1:100000122:1] COMMUNITY WEB-MISC mod_jrun overflow attempt [**] [Classification: Web Application Attack] [Priority: 1] 06/09-20:56:54.617631 10.211.55.3:1106 -> 10.211.55.8:80 TCP TTL:128 TOS:0x0 ID:2373 IpLen:20 DgmLen:1100 DF ***AP*** Seq: 0x6FD81F0A Ack: 0x38149286 Win: 0x8000 TcpLen: 20 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0646][xref => http://www.securityfocus.com/bid/11245] [**] [1:538:15] NETBIOS SMB IPC$ unicode share access [**] [Classification: Generic Protocol Command Decode] 06/09-20:57:29.774179 10.211.55.8:38554 -> 10.211.55.2:139 TCP TTL:64 TOS:0x0 ID:65159 IpLen:20 DgmLen:150 DF ***AP*** Seq: 0x5882F4DA Ack: 0x58D89335 Win: 0xD8 TcpLen: 32 TCP Options (3) => NOP NOP TS: 986426 1027237404 06/09-21:06:54.692473 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:2545 IpLen:20 DgmLen:156 DF 06/09-21:07:55.077832 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:2809 IpLen:20 DgmLen:158 DF 06/09-21:08:55.904459 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:3115 IpLen:20 DgmLen:160 DF [**] [1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-21:09:41.387017 10.211.55.3:1485 -> 10.211.55.8:161 TCP TTL:128 TOS:0x0 ID:3293 IpLen:20 DgmLen:48 DF ******S* Seq: 0x577A2605 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354

HochschuleKarlsruhe TechnikundWirtschaft http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:1420:11] SNMP trap tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-21:09:41.387270 10.211.55.3:1487 -> 10.211.55.8:162 TCP TTL:128 TOS:0x0 ID:3295 IpLen:20 DgmLen:48 DF ******S* Seq: 0xF414433 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-21:09:41.926410 10.211.55.3:1485 -> 10.211.55.8:161 TCP TTL:128 TOS:0x0 ID:3298 IpLen:20 DgmLen:48 DF ******S* Seq: 0x577A2605 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] [**] [1:1418:11] SNMP request tcp [**] [Classification: Attempted Information Leak] [Priority: 2] 06/09-21:09:42.472023 10.211.55.3:1485 -> 10.211.55.8:161 TCP TTL:128 TOS:0x0 ID:3300 IpLen:20 DgmLen:48 DF ******S* Seq: 0x577A2605 Ack: 0x0 Win: 0xFFFF TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][xref => http://www.securityfocus.com/bid/4132][xref => http://www.securityfocus.com/bid/4089][xref => http://www.securityfocus.com/bid/4088] 06/09-21:09:56.516984 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:3364 IpLen:20 DgmLen:160 DF 06/09-21:10:57.440882 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:3580 IpLen:20 DgmLen:158 DF 06/09-21:11:58.624529 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:3810 IpLen:20 DgmLen:160 DF 06/09-21:12:59.432275 10.211.55.3 -> 10.211.55.8 PROTO:255 TTL:0 TOS:0x0 ID:4030 IpLen:20 DgmLen:160 DF 06/09-21:14:03.287219 10.211.55.3 -> 10.211.55.8 AusarbeitungzumThemaLoganalysisTools DataminingfürdieIT Sicherheit SSe2009 DominicHurmMatNr.:24354