ARAKIS

Szczególy klastra: [EXPLOIT] part of SMB exploit - buffer overflow (139/445/TCP)

Nazwa:	[EXPLOIT] part of SMB exploit - buffer overflow (139/445/TCP)
Data:	2011-12-08 17:30:49
Poziom klasyfikacji:	Attack
Rdzeń:	[EXPLOIT] part of SMB exploit - buffer overflow (139/445/TCP)
Porty:	139/TCP , 445/TCP
Unikalnych źródeł:	14
Rozmiar sygnatury:	98
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 139,445 (msg:"[EXPLOIT] part of SMB exploit - buffer overfl\ ow (139/445/TCP)"; flow:to_server,established; content:"DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD\ DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.