Actions
Task #3426
closedTask #2805: Porovnani a otestovani databazovych systemu vhodnych pro systemy Mentat a NERD
Popis IP rozsahov v IDEA správach
Start date:
05/04/2017
Due date:
% Done:
100%
Estimated time:
To be discussed:
Description
Pri testovaní TS2.5 pre PostgreSQL som našiel zvláštne popísané správy v prípade reportu pre rozsah IP adries, ako vidno z ukážky nižšie, konkrétne Target.IP4.{ip,max,min}
{
"ID":"0a7063ac-8f20-468f-ba7a-afcef12deeeb",
"ts":1465599913,
"Node":[
{
"Name":"cz.cesnet.mentat.warden_filer",
"Type":[
"Relay"
]
},
{
"SW":[
"HPScan"
],
"Name":"cz.vutbr.hpscan",
"Tags":[
"Connection",
"Honeypot",
"Recon"
],
"AggrWin":"00:05:00"
}
],
"ts_u":1465599913.874076,
"Format":"IDEA0",
"Source":[
{
"IP4":[
{
"ip":708719015,
"max":708719015,
"min":708719015
}
],
"Port":[
6000
]
}
],
"Target":[
{
"IP4":[
{
"ip":2481285120,
"max":2481286143,
"min":2481285120
}
],
"Port":[
5900
],
"Proto":[
"tcp"
],
"Anonymised":true
}
],
"class2":"idea",
"_CESNET":{
"StorageTime":1465599913
},
"Category":[
"Recon.Scanning"
],
"ConnCount":3,
"DetectTime":1465599626,
"WinEndTime":1465599902,
"WinStartTime":1465599602
}
Minimum a maximum špecifikujú /24 rozsah, v tomto prípade 147.229.104.0 - 147.229.104.255, je ale nastavená aj položka ip, na hodnotu minima. Normálne by som to akceptoval, že sa jedná o z pohľadu udalosti nejako významnú adresu z daného rozsahu, ale podľa whois databázy je to adresa siete.
Celkovo sa jedná o niekoľko rozsahov (vždy /24) ale tiež niekoľko detektorov:
node_name | count
-------------------------------------------------+-------
{cz.cesnet.mentat.warden_filer,cz.vutbr.hpscan} | 32007
{cz.cesnet.mentat.warden_filer,cz.nic.dionaea2} | 5631
{cz.cesnet.mentat.warden_filer,cz.nic.dionaea1} | 4932
{cz.cesnet.mentat.warden_filer,cz.nic.kippo} | 893
Moja otázka: Je IP = IP_min if IP_min != IP_max; očakávané chovanie?
Actions