[Snort-users] Interesting alerts.

Jeremy Junginger jjunginger at ...6842...
Sun Sep 8 09:54:05 EDT 2002


I'm in the process of grooming an IDS, and came across some interesting
alerts...about 18,000 of them.  I am considering "grooming" this alert
out, but would like to understand the traffic.  Please provide any
insights you may have.  I have intentionally left the source IP intact,
as it is the external IP that the box is connecting to.  Let me know
what you think.  Thanks,

------------------------------------------------------------------------
------
#(1 - 44731) [2002-09-05 12:38:18] [Bugtraq/4006]  DOS MSDTC attempt
IPv4: 66.28.151.197 -> x.x.x.118
      hlen=5 TOS=0 dlen=1500 ID=37730 flags=0 offset=0 TTL=107
chksum=48209
TCP:  port=80 -> dport: 3372  flags=***A**** seq=2626793598
      ack=3945314208 off=5 res=0 win=16947 urp=0 chksum=34845
Payload:  length = 1460

000 : 43 2B 88 61 6B 80 AB B3 E5 76 5E 50 F8 34 07 41   C+.ak....v^P.4.A
010 : A3 09 9C 0A 14 87 E1 89 58 0A BC 00 A4 07 59 CB   ........X.....Y.
020 : 40 D4 66 E0 58 2C 90 14 AA AF 00 AD 29 1A 82 D9   @.f.X,......)...
030 : D0 95 71 1B 11 22 80 60 48 0D 28 34 FC 5F 49 5C   ..q..".`H.(4._I\
040 : D6 33 44 D0 07 E4 2D D0 4D 01 D7 1E 10 C0 78 62   .3D...-.M.....xb
050 : DC 9D 00 34 26 0D 29 24 C0 18 BA 54 05 83 6A 80   ...4&.)$...T..j.
060 : 2B CA E5 81 40 1B 8C 70 30 96 70 1E 72 23 C5 13   +... at ...6843...#..
070 : 09 80 64 35 83 43 49 45 19 F6 5C 00 D4 07 45 80   ..d5.CIE..\...E.
080 : 58 E1 89 D8 94 1B 8C 39 87 C0 3A 25 8C 0D 48 62   X......9..:%..Hb
090 : D0 03 6F DC 58 D5 91 A0 39 53 00 18 B8 03 E2 86   ..o.X...9S......
0a0 : 60 92 FE 53 FD 00 85 24 32 62 1D 89 80 67 BA 97   `..S...$2b...g..
0b0 : F3 1E 3B E8 0A 01 40 18 86 60 D4 92 CE 80 74 58   ..;... at ...846...`....tX
0c0 : 0C 51 FB 21 43 A4 0C 0F 97 5E 01 8A 78 16 47 25   .Q.!C....^..x.G%
0d0 : 64 3A 9B 74 91 53 00 9C 35 3C 66 CF FE 41 9F BC   d:.t.S..5<f..A..
0e0 : 58 0E 51 86 7E 73 9F 20 34 68 E1 35 50 0C 19 3D   X.Q.~s. 4h.5P..=
0f0 : 39 7F 40 63 E0 32 25 1F 30 72 A2 66 0C C6 81 F3   9@...6848...%.0r.f....
100 : A0 D0 28 4C 42 19 58 6E 2D D7 55 30 01 80 03 F0   ..(LB.Xn-.U0....
110 : D4 81 42 F0 17 18 34 56 E4 48 00 98 01 E0 0E C0   ..B...4V.H......
120 : 76 00 6A 59 30 9A 1A 35 1C 30 0B 29 19 66 9D A0   v.jY0..5.0.).f..
130 : 28 00 62 05 31 65 E0 DC 71 2B 78 10 0E 0B 49 30   (.b.1e..q+x...I0
140 : 10 81 88 63 54 82 DB FD 97 A0 18 A0 24 A1 7F 13   ...cT.......$..
150 : E2 BD 4C 01 D8 09 89 A0 36 02 A4 C0 D0 24 9D FC   ..L.....6....$..
160 : 08 18 64 32 62 10 52 52 19 80 26 2C 30 86 4E 7F   ..d2b.RR..&,0.N
170 : 10 88 5D C9 98 44 08 18 60 1A 10 C0 0F C0 40 18   ..]..D..`..... at ...4293...43...
180 : 08 DF 84 C4 93 13 85 9D A0 28 4D 32 4A 2C 3A 31   .........(M2J,:1
190 : C3 7F 08 0C E0 12 7E 80 49 FD 54 4C DB 94 43 4E   .....~.I.TL..CN
1a0 : 3D 7E 2F 12 3A 00 46 01 12 E2 61 7C 0B 86 71 48   =~/.:.F...a|..qH
1b0 : 58 9B 43 0A 0E BA 2E A5 CD 6D 21 D0 07 98 5B E9   X.C......m!...[.
1c0 : F9 DC 55 86 E0 91 5A 73 83 AD 84 35 CD 6A 21 99   ..U...Zs...5.j!.
1d0 : F0 D2 4B 74 28 5C 92 1B 16 5E F8 08 C9 DC 20 65   ..Kt(\...^.... e
1e0 : 63 68 84 DA 40 AB 38 76 90 52 19 3D 80 FA F4 43   ch.. at ...6844...=...C
1f0 : C8 60 CE 4D E1 18 E2 87 96 59 88 D1 06 D9 61 1E   .`.M.....Y....a.
200 : E0 25 39 F0 49 12 0C 2F 01 20 3C BC 02 B3 E3 12   .%9.I../. <.....
210 : 30 D2 F1 C2 07 CF BB 7C 07 F6 1B 74 43 74 6D 08   0......|...tCtm.
220 : 0D 72 C3 32 40 F9 17 40 0F 88 69 E3 0A 01 DA 32   .r.2 at ...846...@..i....2
230 : CA 01 CE 14 3A 47 4E D9 09 03 C9 50 8F 01 45 64   ....:GN....P..Ed
240 : FC 61 64 7B D4 11 7C 78 01 EB 90 B9 30 02 F2 62   .ad{..|x....0..b
250 : C6 30 19 D8 D2 B9 FE 40 07 E0 3A C0 18 80 E9 04   .0..... at ...846...:.....
260 : D2 96 94 6C 94 30 E3 FE 80 08 19 1C 9A 01 90 6A   ...l.0.........j
270 : F2 1C 94 E0 7C 33 81 DF 30 03 C2 D2 03 A2 68 68   ....|3..0.....hh
280 : 08 0B 70 8E 34 33 99 D1 D7 E8 CA 5E 3D 04 FD 3F   ..p.43.....^=..?
290 : 9D F0 F2 3D 50 00 F3 13 79 49 18 9A 42 71 70 20   ...=P...yI..Bqp 
2a0 : F5 80 EB 06 00 ED C0 F0 6A D0 24 D8 30 98 86 28   ........j.$.0..(
2b0 : 70 F9 BB D1 FC 9B 9C FA 85 16 4B 77 8F DF 4C 37   p.........Kw..L7
2c0 : 22 E7 B6 A3 A1 C6 65 2E 24 B5 AE B7 06 F9 06 0D   ".....e.$.......
2d0 : CE ED 39 58 EA A0 75 C9 C1 89 61 A7 61 70 0C 0B   ..9X..u...a.ap..
2e0 : 01 DA 10 34 D4 98 C7 4B BC 8B 0B 01 82 89 99 26   ...4...K.......&
2f0 : 78 85 C3 0C 94 37 92 06 73 74 43 18 11 56 14 47   x....7..stC..V.G
300 : 8A 35 5A 08 6F 47 F3 02 57 C7 C3 6E 89 3F E9 F0   .5Z.oG..W..n.?..
310 : EA D7 35 B5 1C 28 9A 86 6F 29 2F 19 DC 55 AC 06   ..5..(..o)/..U..
320 : E1 3C A2 CA 49 49 30 71 00 00 01 BA 21 05 99 9C   .<..II0q....!...
330 : 6B 80 3D CD 00 00 01 E0 07 EE FF FF FF FF FF FF   k.=.............
340 : FF FF FF 61 39 0F 68 1F A2 92 F8 60 17 CE E6 E0   ...a9.h....`....
350 : 1E 4E 2C 3A 27 F6 1A A8 63 86 78 86 77 7E 71 BC   .N,:'...c.x.w~q.
360 : 0D DF 19 FF 03 EE 2F ED 80 47 47 F2 90 0B 5B B3   ....../..GG...[.
370 : B4 10 1A FE DA 02 60 2A 50 0C 40 A6 E9 F8 B4 A1   ......`*P. at ...568...
380 : 3D 09 F8 F7 DD AA 92 5A 40 A3 A4 BE 05 9B 37 1C   =......Z at ...6849.....
390 : 26 E6 F6 FB 51 E3 C4 3C CC 7D 09 A3 52 19 D8 0B   &...Q..<.}..R...
3a0 : A0 D0 CE BD C3 AE B8 06 20 1A 80 3F 01 07 00 B4   ........ ..?....
3b0 : 98 19 88 64 2C CE 84 00 4E C3 F1 96 40 0C 80 16   ...d,...N... at ...6850......
3c0 : 80 98 07 6C 84 06 B2 40 92 5F 7D C4 F5 4C 94 1F   ...l... at ...6846...}..L..
3d0 : 27 F4 68 18 02 00 28 4B E9 26 13 31 09 F7 7E 4C   '.h...(K.&.1..~L
3e0 : C0 63 8D 80 06 B8 34 85 D0 4D 21 00 C4 BE AD B8   .c....4..M!.....
3f0 : 67 72 FA 7E 01 EE 54 A4 D0 13 90 90 FC 34 BC 18   gr.~..T......4..
400 : C0 7F F3 05 35 B0 10 78 00 1F 13 36 41 09 25 90   ...5..x...6A.%.
410 : D3 D2 C8 C8 DF 3A 78 F7 D0 B1 CF 2B 05 E1 53 00   .....:x....+..S.
420 : 42 80 1D 86 7E 78 D0 D0 12 FD 89 CC 2A 00 CC 69   B...~x......*..i
430 : 33 00 A7 25 03 1D 86 77 3C 3F 59 6E 9E C0 61 08   3..%...w<?Yn..a.
440 : CB 3F 7C C2 5B C0 19 A1 41 98 30 A7 08 58 C1 AB   .?|.[...A.0..X..
450 : 13 8F 6D 4C 03 F9 36 92 08 C0 42 42 0C 46 C5 F2   ..mL..6...BB.F..
460 : 6E 72 98 94 1A 50 67 66 75 A1 BA DB B3 C0 0C 80   nr...Pgfu.......
470 : 35 01 00 08 03 40 AE 40 0E C0 A0 01 F0 0E C0 AE   5.... at ...843...@........
480 : 48 18 00 D4 85 86 06 0A 25 F4 38 48 E5 C0 31 25   H.......%.8H..1%
490 : 20 9A 19 CB 48 14 03 25 14 90 2E 94 E4 96 D1 34    ...H..%.......4
4a0 : 37 A1 01 80 36 28 98 18 01 51 E8 D9 0D DC 7A CD   7...6(...Q....z.
4b0 : 1D 32 87 D1 FC DF 00 3D 01 89 0B 00 19 00 EC 98   .2.....=........
4c0 : C4 30 C2 81 08 18 07 65 27 15 C8 65 15 94 34 DE   .0.....e'..e..4.
4d0 : A3 0D 98 04 C0 0E 48 65 90 80 6F BE 28 37 A4 61   ......He..o.(7.a
4e0 : 61 BC AE 05 B6 EA 08 24 89 F5 41 A5 80 E8 9A 4C   a......$..A....L
4f0 : 00 A8 01 F8 08 09 B8 86 19 86 14 03 B4 31 2C 62   .............1,b
500 : 09 09 47 1E CB F5 A5 00 EC A0 10 16 81 A1 B8 0A   ..G.............
510 : 93 0B C4 AE 4D 60 2E 56 33 10 DD 9D CE 08 B9 B1   ....M`.V3.......
520 : AA 03 A2 2D 5E 8F 10 0E 80 33 01 D8 0D F0 01 D9   ...-^....3......
530 : 64 20 D0 C4 E5 72 90 DB 8B C9 76 DC 51 F5 25 90   d ...r....v.Q.%.
540 : 89 80 55 80 6C 5E 42 4D 2B F5 EC E3 CD BA 48 00   ..U.l^BM+.....H.
550 : 78 05 40 32 C4 32 F6 C0 54 04 09 72 F0 66 FB F0   x. at ...6847...
560 : C4 F0 12 94 B3 A7 00 6C 00 FC 69 33 F0 2A 4C 00   .......l..i3.*L.
570 : B7 A3 FC 4C 0D 41 F8 31 6E 8E F3 E1 8E B4 28 41   ...L.A.1n.....(A
580 : D2 C9 1F 47 CF 48 66 0C 2F 37 C9 E0 48 C9 CB DF   ...G.Hf./7..H...
590 : 3E 3B 1E D0 2B EC DF A5 92 65 4A 40 60 90 2A DD   >;..+....eJ@`.*.
5a0 : 7C 41 FE AA 6A 80 28 05 03 1C A4 75 8C 2B B4 00   |A..j.(....u.+..
5b0 : A7 00 69 88                                       ..i.

-Jeremy
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3248 bytes
Desc: not available
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20020908/640163b6/attachment.bin>


More information about the Snort-users mailing list