Académique Documents
Professionnel Documents
Culture Documents
Rapport de stage
1
Remerciements
Je tiens remercier M. Roger Pellenc, Maire de pertuis qui a accept ma demande de stage. Je
remercie pour leur aide Laurent Garcia (responsable informatique le la Mairie de Pertuis), et Cdric
Meysson (du service informatique) qui ma plus particulirement paul pendant ce stage.
Je remercie galement lAfpa qui a financ ce stage.
2
Sommaire
Remerciements ....................................................................................................................................... 2
A propos de Snort .................................................................................................................................... 5
Que permet-il de faire exactement ? ...................................................................................................... 5
Primtres du stage ................................................................................................................................ 5
Prsentation de la Ville............................................................................................................................ 6
Prsentation du rseau de la Ville........................................................................................................... 6
Serveurs et interconnexion globale................................................................................................. 7
Systme de virtualisation ................................................................................................................ 7
Topologie communale ..................................................................................................................... 9
Architecture dans lhtel de ville................................................................................................... 10
Topologie de Snort ................................................................................................................................ 11
Modes dutilisation de Snort ................................................................................................................. 12
Mode sniffer .................................................................................................................................. 12
Mode Packet logger....................................................................................................................... 12
Mode NIDS (Network Intrusion Detection System) ...................................................................... 12
Mode IPS (IPS= Intrusion Prevention System) ou Snort inline ...................................................... 12
Installation Ubuntu et composants complmentaires.......................................................................... 12
Installation des fonctionnalits ncessaires...................................................................................... 12
Mettre jour la version dUbuntu .................................................................................................... 12
Composants pour Snort NIDS ................................................................................................................ 13
JpGraph.............................................................................................................................................. 13
Data acquisition API .......................................................................................................................... 13
Libnet ................................................................................................................................................. 13
Installation de Snort NIDS ..................................................................................................................... 14
Cration de la base de donnes ........................................................................................................ 14
Snort rules ......................................................................................................................................... 14
Barnyard2 .......................................................................................................................................... 14
Interfaces rseau ................................................................................................................................... 15
Les rgles ............................................................................................................................................... 16
Mise jour des rgles............................................................................................................................ 18
Oinkmaster .................................................................................................................................... 18
1. Mise jour du ruleset propos par Snort :.......................................................................... 18
2. Mise jour du ruleset propos par Emerging : ................................................................... 19
3. Mise jour du ruleset propos par Bleeding Snort :........................................................... 19
3
On peut prsent tester Snort en NIDS ............................................................................................ 20
Monitoring............................................................................................................................................. 20
Acid (Analysis Console for Intrusion Databases) ............................................................................... 20
Snort report ....................................................................................................................................... 22
Analyse de linterface ........................................................................................................................ 24
Attaques ............................................................................................................................................ 26
Quelques mots sur les techniques anti-Snort ................................................................................... 27
a. Attaque par dni de service....................................................................................................... 27
b. Attaque par insertion ................................................................................................................ 27
c. Attaque par vasion ................................................................................................................... 27
Snort inline ............................................................................................................................................ 28
Les pr-requis : .................................................................................................................................. 28
Une installation dUbuntu mise jour .......................................................................................... 28
Iptables .......................................................................................................................................... 28
Libnet ............................................................................................................................................. 28
Prce ................................................................................................................................................ 29
Libpcap .......................................................................................................................................... 29
Libdnet ........................................................................................................................................... 29
Installation de Snort inline ................................................................................................................ 29
Paramtrage ...................................................................................................................................... 30
Cration des rpertoires ............................................................................................................... 30
Fichiers de configuration ............................................................................................................... 30
Rgles ............................................................................................................................................ 30
Paramtrage du fichier de configuration principal ....................................................................... 30
Activation du mode d'interception ................................................................................................... 31
Activation de ip_queue ................................................................................................................. 31
Paramtrage de iptables ................................................................................................................... 31
Oinkmaster sur Snort inline............................................................................................................... 31
Test de Snort inline................................................................................................................................ 32
Mise en uvre prvoir ............................................................................................................... 33
Conclusion ......................................................................................................................................... 34
Lexique .............................................................................................................................................. 35
Annexes ................................................................................................................................................. 36
Annexe 1. ....................................................................................................................................... 36
4
A propos de Snort
En anglais, Snort signifie renifler . Snort est un systme de dtection
d'intrusion libre (ou NIDS) publi sous licence GNU GPL (Licence dfinissant le
mode dutilisation et de distribution des logiciels libres). l'origine crit par Martin Roesch, il
appartient actuellement Sourcefire. Des versions commerciales intgrant du matriel et des
services de supports sont vendues par Sourcefire. Snort est un des NIDS les plus performants. Il est
soutenu par une importante communaut qui contribue son succs.
Signatures
Snort peut galement tre utilis avec d'autres modules compatibles (tels que des interfaces
graphiques, des actualisateurs de librairies dattaques indpendants, etc.)
Snort est compatible avec la plus part des OS. Windows, Mac, Linux Ubuntu, CentOS, OpenSuSE
Primtres du stage
Pendant mon stage, je dois installer Snort, le paramtrer et le tester. Je dispose dun PC avec le
logiciel de vitalisation VirtualBox. Je dois raliser mon travail sur Linux Ubuntu.
En prambule : pour des raisons de scurit vidente, je noterai dans ce rapport les adresses IP du
rseau de la Ville de pertuis comme xxx.xxx.xxx.xxx/xx
5
Prsentation de la Ville
Deux serveurs NAS (Network Attached Storage) desservent les quipements de la commune.
Un lhtel de ville et lautre (en cours de dmnagement) au Centre de Gestion Urbain
6
Serveurs et interconnexion globale
Figure 1
Deux Serveurs de fichiers sur des sites distants (un la Police municipale et lautre au Centre
technique municipal). Ils garantissent une bande passante optimale. Ils sont galement des
rpliquats Active Directory, pour prvenir des coupures de liaison.
Un service applicatif pour le service ducation (en bas au centre sur la figure 1).
Serveur ESXI 4.1 hbergeant deux serveurs virtuels pour la sauvegarde et la supervision. La
sauvegarde effectue par Veeam Backup (sauvegarde des machines virtuelles de la baie.)
Systme de virtualisation
- Baie SAN Dell quallogic (Stockage des serveurs)
- 2 serveurs sous VMware
- 2 sous Hyper V (virtualisation version Windows)
7
Figure 2
Sous Hyper V :
- serveurs Citrix (Dport applicatif)
Sous VMware :
lActive Directory, le serveur DHCP, le serveur DNS, le serveur de messagerie, le serveur de bases de
donnes, le serveur WSUS (serveur mises jour), les serveurs applicatifs, les serveurs de fichiers.
8
Topologie communale
Figure 3
A lhtel de ville, quatre antennes wifi servent quatre sites distants, et une fibre optique reliant
l'annexe et le "donjon" (tour ancienne et point culminant au centre de Pertuis) sur lequel quatre
antennes servent quatre autres sites distants.
Les antennes sont des Alvarion (wimax) avec un cryptage de type AES 256 bits.
9
Architecture dans lhtel de ville
Ma situation
sur le rseau
Figure 4
Un Pare feu Fortigate (en fait, ils sont deux en cluster par scurit),
10
Topologie de Snort
O positionner Snort ? Une vraie guerre de religion !
Exemple de rseau
Position 1 : Sur cette position, Snort va pouvoir dtecter l'ensemble des attaques frontales,
provenant de l'extrieur, en amont du firewall. Ainsi, beaucoup d'alertes seront remontes ce qui
rendra les logs difficilement consultables.
Position 2: Si Snort est plac sur la DMZ, il dtectera les attaques qui n'ont pas t filtres par le
firewall et qui relvent d'un certain niveau de comptence. Les logs seront ici plus clairs consulter
puisque les attaques bnignes ne seront pas recenses.
Position 3 : Snort peut ici rendre compte des attaques internes, provenant du rseau local de
l'entreprise. Il peut tre judicieux d'en placer un cet endroit tant donn le fait que 80% des
attaques proviennent de l'intrieur. De plus, si des trojans ont contamin le parc informatique
(navigation peu mfiante sur internet) ils pourront tre ici facilement identifis pour tre ensuite
radiqus.
Ce dernier positionnement est celui que jai test pendant mon stage. Pourquoi ? Le temps du stage
ntant pas infini, jai choisi de mintresser la dtection des intrusions qui ont russi entrer dans
lenceinte du rseau. Le web regorge dactivits malveillantes qui ne nous concernent pas forcment.
Donc la position 3 me parait de loin la plus pertinente. De plus les failles les plus rpandues
proviennent gnralement de lintrieur de lentreprise, et non de lextrieur.
Dans lidal, il faudrait faire le mirroring du flux passant par un switch (manageables bien entendu) et
le soumettre lanalyse de Snort.
11
Modes dutilisation de Snort
Il existe 4 modes dexcutions de Snort :
Mode sniffer
Cest un snif de rseau classique. Inutile de sy attarder, dautres logiciels comme wireshark le font trs bien, et
la valeur relle de Snort nest pas l.
12
Composants pour Snort NIDS
JpGraph
Composant optionnel. Il permet de prsenter des graphiques sur la page daccueil de Snort.
Lien de tlchargement : http://hem.bredband.net/jpgraph/jpgraph-1.27.1.tar.gz
Tlchargement et installation :
Installation:
Libnet
Libnet, est une bibliothque opensource. Elle permet de fabriquer et d'injecter facilement des
paquets sur un rseau.
Tlcharger libnet-1.12
http://libnet.google.com/files/libnet-1.12.tgz
installation :
13
Installation de Snort NIDS
Tlcharger la dernire version stable, sur http://www.snort.org/snort-downloads (jutilise la version 2.9.2).
Une fois le fichier tlcharg, ouvrir un terminal et excuter les commandes suivantes :
echo "grant create, insert, select, delete, update on snort.* to snort@localhost identified by
'mon-mdp'" | mysql -u root -p
Snort rules
Afin de donner Snort une bonne acquitte dans son observation, il faut intgrer des rgles de
dtection, et les mises jour de ces rgles. Les rgles ruleset officielles sont proposes par Snort
ladresse suivante :
http://www.snort.org/snort-rules/ Le principal inconvnient : ils sont payants. Il y a toute fois un
ruleset disponible pour test lorsque lon sinscrit sur le site de Snort.
Barnyard2
Barnyard est une couche applicative qui exploite les vnements gnrs par Snort. Barnyard permet
de prendre en charge linscription des vnements en base de donnes et libre donc des ressources
Snort qui peut davantage se concentrer sur la dtection des intrusions.
14
Installation de la version courante:
sudo tar zxvf barnyard2-1.9.tar.gz
cd barnyard2-1.9
sudo ./configure --with-mysql
sudo make
sudo make install
sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chmod 666 /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.waldo
sudo chown snort.snort /var/log/snort/barnyard2.waldo
Interfaces rseau
Afin dutiliser Snort, il nous faut donc 2 interfaces rseau. La premire relie la console de
management, et la seconde au rseau sniffer.
Par :
auto eth1
iface eth1 inet static
address xxx.xxx.xxx.xxx
15
netmask xxx.xxx.xxx.xxx
network xxx.xxx.xxx.xxx
broadcast xxx.xxx.xxx.xxx
gateway xxx.xxx.xxx.xxx
On ajoute maintenant ces lignes qui permettront de dmarrer linterface avec son IP :
auto eth1
iface eth1 inet manual
ifconfig eth1 up
On enregistre et on relance :
sudo /etc/init.d/networking restart
Afin de lancer Snort automatiquement sur notre machine, on peut diter le fichier rc.local :
sudo vi /etc/rc.local
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-G /usr/local/snort/etc/gen-msg.map \
-S /usr/local/snort/etc/sid-msg.map \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo \
-D
Les rgles
Une convention permet de normaliser lcriture des rgles. Une rgle Snort est compose de deux
parties prsentes sous le format suivant : Header (options).
action protocole adress1 port1 direction adresse2 port2 Options (msg, content .etc)
La partie header dcrit laction, la direction et les adresses sources et destinations des changes
rseau.
16
- Le champ action peut prendre plusieurs valeurs selon laction mener par Snort en dtectant
des paquets rseau rpondant au critre dfinie dans la rgle. Ces valeurs sont les suivantes :
alert : gnre une alerte et log le paquet
log : log le paquet
pass : ignore le paquet
activate : active une rgle dynamique
dynamic : dfinie une rgle dynamique
- Le champ protocole dcrit le protocole utilis pour la communication. Snort supporte les
protocoles IP (TCP, UDP), ICMP.
- Les champs direction renseignent Snort sur la direction des changes rseau ( ->, <->, <- ).
- Les champs adress/port dcrivent les adresses IP et les ports des machines qui changent des
donnes sur le rseau.
- La partie options, elle renseigne Snort sur les caractristiques des paquets signaler et garantissent
une meilleure granularit pour dfinir et appliquer les rgles mais aussi dclencher les actions
quelles dcrivent.
- La partie options est constitue de plusieurs champs qui assurent lanalyse du contenu des paquets
rseau avec plus de finesse. Notons que la manipulation de ces champs ncessite une grande
matrise des protocoles rseau pour pouvoir dcrire les signatures des attaques dtecter.
Pour chaque option le format est nom option : valeur1 [, valeur2,] ci-dessous quelques options
utilises dans la cration des rgles.
msg : spcifie le message qui sera affich dans le log et dans lalerte
reference : fait rfrence aux sites expliquant lattaque dtecte (bugtraq , CVE, etc.)
classtype : dfinit la classe de lattaque (troyen, shellcode etc)
ttl : spcifie la valeur du TTL du paquet
flags : spcifie la prsence dun flag TCP dans le paquet (SYN, Fin, etc)
..etc
Notons que ces options sont intressantes pour dcrire avec prcision les attaques. Donc plus vous
matrisez le formalisme de description des attaques par le biais de ces rgles plus vous aurez des
alertes prcises et vous vitez les faux positifs (flux sain comme analys comme tant une attaque).
17
Analyse de rgle:
alert tcp $EXTERNAL_NET any -> HTTP_SERVERS 80 (msg : web attack code execution ;
uricontent :/bin/sh ; nocase ; classtype : web-application-attacks ; sid :1518 ; rev :1 ; )
Options (msg,
action protocole adress1 port1 direction adresse2 port2
content .etc)
web attack
alert tcp $EXTERNAL_NET any -> HTTP_SERVERS 80
code execution
Cette rgle permet de dtecter des attaques du rseau externe qui consiste excuter une
commande sur le serveur web.
Oinkmaster
Installation :
En lanant Oinkmaster par la ligne suivante, la mise jour du ruleset seffectue correctement :
oinkmaster.pl -o /etc/snort/rules -b /etc/snort/backup 2>&1
18
La dernire instruction ci-dessus signifie que nous lanons le script perl oinkmaster, les rgles sont
places dans le dossier /etc/snort/rules et si il y a des changements dans les nouvelles rgles, les
rgles courantes vont tre sauvegardes dans le dossier /etc/snort/backup.
Par dfaut, certains fichiers de Snort (rgles, ) sont conservs, et protgs de toute nouvelle mise
jour. Ainsi, par exemple, snort.conf est exclu de la mise jour, ce qui permet de conserver
notamment les paramtres du fichier de configuration. Si jamais une nouvelle version du fichier tait
tlcharge, toutes les donnes seraient perdues, car rcrites par le nouveau. Pour viter cela, il
faut diter le fichier de configuration de Oinkmaster :
skipfile local.rules
En lanant Oinkmaster par la ligne suivante, la mise jour du ruleset seffectue correctement :
19
On peut prsent tester Snort en NIDS
En entrant la commande :
sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth1
ou sudo /etc/init.d/rc.local start
Mais ceci est un peu austre. Nous pouvons donc observer les rapports de Snort sur des interfaces
graphiques telles que ACID ou Snort report.
Monitoring
Acid (Analysis Console for Intrusion Databases)
Cette application permet de synthtiser les alertes gnres par Snort. Elle possde quelques
options confortables telles que lenvoi par email de rapports.
20
Installation :
Pendant linstallation, une fentre souvre et demande les rfrences de la base de donne (nom de
la base de donne, Login, mot de passe)
Lancement :
21
Nous obtenons :
Un rsum des alertes est galement disponible. Mais il est plus parlant sur Snort report.
Snort report
Tlcharger la dernire version stable sur : http://www.symmetrixtech.com
Actuellement la version 1.3.3
Dcompresser dans /var/www/
sudo tar zxvf snortreport-1.3.3.tar.gz -C /var/www/
JPGRAPH_PATH : ../../../usr/share/jpgraph
22
On peut dsormais avoir une interface graphique en ouvrant le navigateur web ladresse :
http:// xxx.xxx.xxx.xxx/snortreport-1.3.3/alerts.php
Rsolution du problme :
- Ma version dUbuntu fonctionnait avec 256 Mo de Ram, je lai pass 1024.
- Jai rduit le nombre maximum de connexions TCP dans le paramtrage de Snort :
vi /usr/local/snort/etc/snort.conf
preprocessor stream5_global: track_tcp yes, \
track_udp yes, \
track_icmp no, \
max_tcp 262144, \ ----------> Modifi en max_tcp 162144, \
max_udp 131072, \
Je reprends donc
23
Analyse de linterface
On observe sur ce rsultat que lon peut focaliser la plage de temps que lon dsire analyser. Ici :
- une alerte ICMP Destination Unreachable Port Unreachable . Renseignement pris, cette alerte
prvient dune attaque par dni de service (ou, attaque ayant pour but de rendre indisponible un
service, d'empcher les utilisateurs lgitimes d'un service de l'utiliser.)
- une alerte ICMP Ping : Peut prvenir une attaque par saturation du rseau (Une machine A usurpe
une IP et envoie une requte un serveur Broadcast. Celui-ci inonde le rseau de requtes. Si cette
opration se renouvelle frquemment, le rseau se voit brid)
- une alerte ICMP Echo Reply : Un attaquant distant peut utiliser une requte de ce type pour
dterminer des htes actifs en prlude une attaque.
24
En cliquant sur Summary , on obtient le dtail :
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
On prcise en cliquant sur une adresse IP (Dest IP que je masque ici), pour obtenir le dtail :
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
25
Attaques
Jallais dire Ah, enfin
Malgr ma situation relativement protge, au bout de 3 jours dexploitation, une bonne alerte :
Les attaques sont rpertories en quatre niveaux de 1 (alerte srieuse) 4 (alerte bnigne)
Donc, ici plusieurs attaques niveau 1 et 2 ont t dtectes.
SHELLCODE NOOP : Il sagit l dune attaque visant permettre un attaquant de prendre la main sur
des donnes ou usurper une identit. Ce qui lui permet dexcuter des codes de son choix.
26
Par exemple SHELLCODE Sun Sparc setupid :
(Setupid = set up user ID) Lattaquant peut le loguer en root et prendre donc tous les privilges. Cette
attaque cible souvent le service DNS, le service mail,
Bien videment, avant de commencer lancer des attaques anti-Snort, il faut dtecter au pralable
son existence sur le rseau cibl. Pour ceci les pirates utilisent certaines techniques qui rvlent
lexistence dun IDS en observant certains comportements sur le rseau cibl, notamment lexistence
dune interface en mode promiscuit, la mesure du temps de latence etc..
27
Snort inline
Rappel : Le mode IPS (Systme de prvention d'intrusion) nest plus Snort a proprement parler. Il
sagit dune autre version base sur Snort 2.6. Cette version permet de modifier ou de rejeter des
paquets. Je rsume ici les tapes de linstallation.
Cette version ne se base plus sur la librairie libpcap comme Snort, mais sur iptables. Iptables est un
logiciel libre sous Linux grce auquel l'administrateur systme peut configurer les chanes et rgles
dans le pare-feu Netfilter.
Afin de tester cette version, il faut donc repartir sur une nouvelle installation dUbuntu.
Les pr-requis :
Une installation dUbuntu mise jour
(Ainsi quelle est dcrite prcdemment pour Snort)
Iptables
Dsinstallation pralable de la version de base iptables
# cd /usr/local/src/
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.3.2.tar.bz2
# bzip2 -cd iptables-1.4.3.2.tar.bz2 | tar xvf -
# cd iptables-1.4.3.2/
# make install-devel
Attention : Compiler avec l'option --enable-libipq permet d'assurer l'installation de libipq sur laquelle
Snort inline se base.
Libnet
# cd /usr/local/src/
# wget http://freefr.dl.sourceforge.net/sourceforge/libnet-dev/libnet-1.1.3.tar.gz
# tar xzvf libnet-1.1.3.tar.gz
# cd libnet-1.1.3/
# ./configure
# make
# make install
28
Prce
Pcre (Perl-Compatible Regular Expressions) correspond la bibliothque d'expressions rgulires
compatible avec Perl. Pour l'installer :
# cd /usr/local/src/
# wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.9.tar.gz
# tar xzvf pcre-7.9.tar.gz
# cd pcre-7.9/
# ./configure
# make
# make install
Libpcap
# cd /usr/local/src/
# wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
# tar xzvf libpcap-1.0.0.tar.gz
# cd libpcap-1.0.0/
# ./configure
# make
# make install
Libdnet
# cd /usr/local/src/
# wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download
# tar xzvf libdnet-1.11.tar.gz
# cd libdnet-1.11/
# ./configure
# make
# make install
29
Paramtrage
Cration des rpertoires
# mkdir -p /etc/snort_inline/rules/
# mkdir /var/log/snort_inline/
Fichiers de configuration
# cp /usr/local/src/snort_inline-2.6.1.5/etc/* /etc/snort_inline/
Rgles
# cd /usr/local/src/snort_inline-2.6.1.5/etc/
# cp classification.config reference.config /etc/snort_inline/rules/
Modifications apporter :
Remplacer :
Par :
Et
Remplacer :
par :
30
Activation du mode d'interception
Activation de ip_queue
Afin que snort_inline intercepte tout le trafic, il est ncessaire d'activer ip_queue comme suit :
# modprobe ip_queue
Paramtrage de iptables
Afin que iptables envoie le trafic web (port tcp/80) ip_queue, on utilise la commande suivante :
# cd /etc/snort_inline/
# wget http://www.snort.org/pub-bin/oinkmaster.cgi/<mon oinkcode perso>/snortrules-snapshot-
2.6.tar.gz
# tar xvzf snortrules-snapshot-2900.tar.gz
31
Test de Snort inline
En lanant Snort inline avec la commande :
Jobtiens quelques erreurs provenant des fichiers de rgles. Une cinquantaine sur plus de mille trois
cent. Jai comment ces rgles car elles ne sont vraiment modifiables que par les experts qui les ont
crites. Je peux ainsi poursuivre mon test de Snort inline.
32
Mise en uvre prvoir
Snort Inline doit vrifier les paquets avant de dcider sil faut les accepter ou les refuser. Il doit tre
plac idalement aprs le firewall le long du brin rseau. Voir ci-dessous la diffrence entre le
positionnement de Snort et Snort inline.
Internet Internet
33
Conclusion
Snort est un outil trs intressant dans la mise en place d'une scurit rseau. Grce aux
communauts trs actives qui crent les librairies dattaques. Snort permet de voir avec une bonne
acuit de quoi il faut se protger. Il est souligner limportance dune bonne mise jour de ces
librairies. De plus Snort plac dans lenceinte dun rseau permet de dtecter les failles les plus
rpandues qui proviennent gnralement de lintrieur de lentreprise, et non de lextrieur. Ce
systme de dtection multiplateforme est en perptuelle volution et semble un des meilleurs outils
dans la connaissance des vulnrabilits auxquelles on est expos.
34
Lexique
Terme Dfinition
35
Annexes
Annexe 1.
============================ Pkts/min: 1615 Dropped: 0 ( 0.000%)
Run time for packet processing Pkts/sec: 25 Filtered: 0 ( 0.000%)
was 952.603434 seconds Packet I/O Totals: Outstanding: 0 ( 0.000%)
Snort processed 24227 packets. Received: 24227 Injected: 0
Snort ran for 0 days 0 hours 15 Analyzed: 24227 (100.000%)
minutes 52 seconds
============================ Alerts: 717 ( 2.960%) UDP Sessions Created: 40
Breakdown by protocol (includes Logged: 717 ( 2.960%) UDP Sessions Deleted: 40
rebuilt packets): Passed: 0 ( 0.000%) UDP Timeouts: 0
Eth: 24227 (100.000%) Limits: UDP Discards: 0
VLAN: 0 ( 0.000%) Match: 0 Events: 0
IP4: 3908 ( 16.131%) Queue: 0 Internal Events: 0
Frag: 0 ( 0.000%) Log: 0 TCP Port Filter
ICMP: 0 ( 0.000%) Event: 0 Dropped: 0
UDP: 2763 ( 11.405%) Alert: 0 Inspected: 0
TCP: 814 ( 3.360%) Verdicts: Tracked: 392
IP6: 520 ( 2.146%) Allow: 24227 (100.000%) UDP Port Filter
IP6 Ext: 546 ( 2.254%) Block: 0 ( 0.000%) Dropped: 0
IP6 Opts: 26 ( 0.107%) Replace: 0 ( 0.000%) Inspected: 3148
Frag6: 0 ( 0.000%) Whitelist: 0 ( 0.000%) Tracked: 40
ICMP6: 47 ( 0.194%) Blacklist: 0 ( 0.000%) ============================
UDP6: 473 ( 1.952%) Ignore: 0 ( 0.000%) HTTP Inspect - encodings (Note:
TCP6: 0 ( 0.000%) ============================ stream-reassembled packets
Teredo: 0 ( 0.000%) Frag3 statistics: included):
ICMP-IP: 0 ( 0.000%) Total Fragments: 0 POST methods: 0
EAPOL: 0 ( 0.000%) Frags Reassembled: 0 GET methods: 0
IP4/IP4: 0 ( 0.000%) Discards: 0 HTTP Request Headers
IP4/IP6: 0 ( 0.000%) Memory Faults: 0 extracted: 0
IP6/IP4: 0 ( 0.000%) Timeouts: 0 HTTP Request Cookies
IP6/IP6: 0 ( 0.000%) Overlaps: 0 extracted: 0
GRE: 0 ( 0.000%) Anomalies: 0 Post parameters extracted: 0
GRE Eth: 0 ( 0.000%) Alerts: 0 HTTP response Headers
GRE VLAN: 0 ( 0.000%) Drops: 0 extracted: 0
GRE IP4: 0 ( 0.000%) FragTrackers Added: 0 HTTP Response Cookies
GRE IP6: 0 ( 0.000%) FragTrackers Dumped: 0 extracted: 0
GRE IP6 Ext: 0 ( 0.000%) FragTrackers Auto Freed: 0 Unicode: 0
GRE PPTP: 0 ( 0.000%) Frag Nodes Inserted: 0 Double unicode: 0
GRE ARP: 0 ( 0.000%) Frag Nodes Deleted: 0 Non-ASCII representable: 0
GRE IPX: 0 ( 0.000%) =========================== Directory traversals: 0
GRE Loop: 0 ( 0.000%) Stream5 statistics: Extra slashes ("//"): 0
MPLS: 0 ( 0.000%) Total sessions: 40 Self-referencing paths ("./"): 0
ARP: 19033 ( 78.561%) TCP sessions: 0 HTTP Response Gzip packets
IPX: 0 ( 0.000%) UDP sessions: 40 extracted: 0
Eth Loop: 0 ( 0.000%) ICMP sessions: 0 Gzip Compressed Data
Eth Disc: 0 ( 0.000%) IP sessions: 0 Processed: n/a
IP4 Disc: 92 ( 0.380%) TCP Prunes: 0 Gzip Decompressed Data
IP6 Disc: 0 ( 0.000%) UDP Prunes: 0 Processed: n/a
TCP Disc: 0 ( 0.000%) ICMP Prunes: 0 Total packets processed:
UDP Disc: 0 ( 0.000%) IP Prunes: 0 250
ICMP Disc: 0 ( 0.000%) TCP StreamTrackers Created: 0 ============================
All Discard: 92 ( 0.380%) TCP StreamTrackers Deleted: 0 dcerpc2 Preprocessor Statistics
Other: 1005 ( 4.148%) TCP Timeouts: 0 Total sessions: 0
Bad Chk Sum: 470 ( 1.940%) TCP Overlaps: 0 ============================
Bad TTL: 0 ( 0.000%) TCP Segments Queued: 0 Snort exiting
S5 G 1: 0 ( 0.000%) TCP Segments Released: 0
S5 G 2: 0 ( 0.000%) TCP Rebuilt Packets: 0
Total: 24227 TCP Segments Used: 0
============================ TCP Discards: 0
Action Stats: TCP Gaps: 0
36