Tabela Klastrów Poziom Nazwa klastra Przepływów % przepływów Numer portu Protokół % unikalnych źródeł   [WORM] Conficker/Downadup activity (139/445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase    8551   4.09   445   tcp   78.36    RPC DCOM probe (port 135/TCP)    2890   1.38   135   tcp   10.18    SMB Initiation (port 139/445/TCP)    2876   1.38   445   tcp   11.41    [WORM] NETBIOS SMB Initiation using Pysmb library (139/TCP, "nt|00|pysmb")    2405   1.15   445   tcp   33.00    [WORM] Conficker/Downadup activity (445/TCP, "NT LM 0.12", MS08-067) - SMB negotiation phase    2366   1.13   445   tcp   32.46    RPC DCOM probe (port 135/TCP)    2164   1.04   135   tcp   8.96    [WORM] SQL Slammer (1434/UDP, "sock", "send", "|81 F1 03 01 04 9B 81 F1 01|"    1382   0.66   1434   udp   0.56    [WORM] MS RPC DCOM Blaster (135/TCP, "MARB", "MEOW", CVE-2003-0352, MS03-026)    872   0.42   135   tcp   5.05    [TRASH] almost_all_zeros ("|00 00 00...|")    786   0.38   135   tcp   5.35    MSSQL Probe port 1433/TCP (Spida Worm?)    462   0.22   1433   tcp   0.43    [WORM] part of MS RPC DCOM Blaster (135/TCP, CVE-2003-0352, MS03-026)    337   0.16   135   tcp   2.99    [TRASH] small part of MS RPC DCOM Blaster (135/TCP)    285   0.14   135   tcp   2.78    NETBIOS SMB Initiation (445/TCP)    223   0.11   445   tcp   2.42    NETBIOS SMB Initiation (445/TCP)    213   0.10   445   tcp   1.92    NETBIOS SMB Initiation (445/TCP)    195   0.09   445   tcp   2.18    [WORM] MS RPC DCOM Blaster (135/TCP, "MARB", "MEOW", CVE-2003-0352, MS03-026)    195   0.09   135   tcp   1.96    [EXPLOIT] part of LSA Exploit / NETBIOS SMB-DS Exploit (445/TCP)    165   0.08   445   tcp   0.71    SMB / NTLMSSP negotiation (445/TCP)    109   0.05   445   tcp   1.16    [WORM] part of MS RPC DCOM Blaster (135/TCP, CVE-2003-0352, MS03-026)    100   0.05   135   tcp   0.89    [SHELLCODE] x86 NOOP    86   0.04   445   tcp   0.74    [WORM] part of MS RPC DCOM Blaster (135/TCP, CVE-2003-0352, MS03-026)    85   0.04   135   tcp   0.99    [EXPLOIT] LSASS / DCERPC exploit + Shellcode NOOP (445/TCP)    81   0.04   445   tcp   0.68    NETBIOS SMB Initiation ? (445/TCP)    64   0.03   445   tcp   0.77    NETBIOS SMB Initiation ? (445/TCP)    60   0.03   445   tcp   0.71    [WORM] MS RPC DCOM Blaster (135/TCP, "MARB", "MEOW", CVE-2003-0352, MS03-026)    57   0.03   135   tcp   0.55  Statystyki aktywności klastrów przedstawiają ranking klastrów (wytworzonych na podstawie zebranych próbek ruchu) obserwowanych pod kątem liczby przepływów do sieci honeypotowych w ciągu ostatnich 24 godzin. Wysoka pozycja niesklasyfikowanych klastrów (klastrów bez nazwy) oznaczać może nowy ruch w sieci nieznany systemowi i mogący stanowić nowy rodzaj ataku. Możliwe jest kliknięcie na dany klaster w celu uzyskania więcej informacji na temat charakterystyki zawartości pola danych pakietów tworzących klaster.

© Copyright by 2007    (Aktualizacja strony: 2010-09-03 22:05:00 CEST)