ARAKIS

Szczególy klastra: [SCAN] Web proxy check / CONNECT method to mail (gmail)

Nazwa:	[SCAN] Web proxy check / CONNECT method to mail (gmail)
Data:	2012-01-12 10:30:29
Poziom klasyfikacji:	Attack
Rdzeń:	[SCAN] Web proxy check / CONNECT method to mail (gmail)
Porty:	80/TCP , 808/TCP , 3128/TCP , 8080/TCP
Unikalnych źródeł:	67
Rozmiar sygnatury:	87
Sygnatura klastra:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80,808,3128,8080 (msg:"[SCAN] Web proxy check / CONNECT met\ hod to mail (gmail)"; flow:to_server,established; content:"CONNECT gmail-smtp-in.l.google.com\:25 HT\ TP/1.1\|0d 0a\|Host\: gmail-smtp-in.l.google.com\:25\|0d 0a 0d 0a\|";)

Publiczne strony ARAKISa zawierają jedynie zbiorcze statystyki dotyczące klastra. Każdy klaster posiada nazwę, poziom klasyfikacji, listę portów których dotyczy, liczbę unikalnych źródłowych IP wysyłających dane o podobnej charakterystyce, wielkość końcowej sygnatury i końcową „super” sygnaturę klastra wyrażoną w postaci regułki snort. Sygnatura ta jest wspólna dla wszystkich przepływów tworzących klaster i jest potencjalnie sygnaturą nowego zagrożenia np. exploita lub robaka.