<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:black;
        font-weight:normal;
        font-style:normal;
        text-decoration:none none;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>I finished version 1 of mine a while back…
I will go back and add more statistics, but I want to build me correlation
scripts… here is a couple of snippets from my scripts. Pretty much all
you are doing is counting rows and setting the order of listing to descending,
then limiting it to the top 10… so if you want to get the top 10 SRC IP’s
your script can look similar to this:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>select count(*) AS COUNT,ip_src FROM
iphdr GROUP BY ip_src ORDER BY COUNT DESC LIMIT 30<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>in this case I’m getting the Top 30
SRC IP’s. you can script that from the command and have it output to a
nice little html page reading for viewing.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>Mysql –h serverip –D database
–H –B –e “select count(*) AS COUNT,ip_src FROM iphdr
GROUP BY ip_src ORDER BY COUNT DESC LIMIT 30;”<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>-B tells mysql to run as a batch job<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>-e tells it to execute this command<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>-H tells it to produce HTML output<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>With the above, here is aline will get
you the Top 30 signatures and output it to a html page<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>mysql -h 127.0.0.1 -D IDS -H -B -e
"select count(*) AS COUNT,sig_name from event LEFT JOIN signature ON
signature = signature.sig_id GROUP BY signature ORDER BY COUNT DESC limit
30;" >> /var/www/html/sig.html<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><o:p> </o:p></span></font></p>

<div>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>Thanks,</span></font><font color=black><span
style='color:black'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'>Michael Brown</span></font><font
color=black><span style='color:black'><o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=black face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:black'><br>
<br>
</span></font><o:p></o:p></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

</div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'>
snort-users-admin@lists.sourceforge.net
[mailto:snort-users-admin@lists.sourceforge.net] <b><span style='font-weight:
bold'>On Behalf Of </span></b>Muhammad Omar Khan<br>
<b><span style='font-weight:bold'>Posted At:</span></b> Wednesday, March 09,
2005 11:20 PM<br>
<b><span style='font-weight:bold'>Posted To:</span></b> Snort<br>
<b><span style='font-weight:bold'>Conversation:</span></b> [Snort-users] Re:
Snort and Mysql for statistics purposes<br>
<b><span style='font-weight:bold'>Subject:</span></b> [Snort-users] Re: Snort
and Mysql for statistics purposes<br>
  </span></font></p>

<div>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Hi all,<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>It's my
first query to a group, i am intended to make a data analysis interface using
PHP and MySql and i am stuck at a point i.e how to fetch top 10 records e.g.
top 10 source IPs or top 10 Destination ports from mysql database. Can any
one please help in this regard, any Mysql commands or something...?<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Regards<o:p></o:p></span></font></p>

<p><font size=3 face="Times New Roman"><span style='font-size:12.0pt'>Omar <br>
<br>
>From: sushant@...1052... >To: David Jiménez Domínguez
<djdsecurity@...11827...> >CC: snort-users@lists.sourceforge.net,
honeypots@...35...,focus-ids@...35... >Subject: Re: Snort
and Mysql for statistics purposes >Date: Wed, 9 Mar 2005 08:53:46 -0500
>MIME-Version: 1.0 >X-Originating-IP: 68.40.48.74 >Received: from
[205.206.231.26] ([205.206.231.26]) by mc10-f13.hotmail.com with Microsoft
SMTPSVC(6.0.3790.211); Wed, 9 Mar 2005 06:21:54 -0800 >Received: from
no.name.available by [205.206.231.26] via smtpd (for [65.54.166.230]
[65.54.166.230]) with ESMTP; Wed, 9 Mar 2005 06:22:02 -0800 >Received: from
lists.securityfocus.com (lists.securityfocus.com [205.206.231.19])by outgoing2.securityfocus.com
(Postfix) with SMTP id BA446160961for <chit0z@...125...>; Wed, 9 Mar
2005 07:11:36 -0700 (MST) >Received: (qmail 20335 invoked by alias); 9 Mar
2005 14:37:46 -0000 >Received: (qmail 14396 invoked from network); 9 Mar
2005 14:10:05 -0000 >X-Message-Info:
JGTYoYF78jGFFV1qsmGqmdPXbfSdrgjwFGM4X0g561k= >Mailing-List: contact
honeypots-help@...35...; run by ezmlm >Precedence: bulk
>X-No-Archive: yes >List-Id: <honeypots.list-id.securityfocus.com>
>List-Post: <mailto:honeypots@...35...> >List-Help:
<mailto:honeypots-help@...35...> >List-Unsubscribe:
<mailto:honeypots-unsubscribe@...35...> >List-Subscribe:
<mailto:honeypots-subscribe@...35...> >Delivered-To: mailing
list honeypots@...35... >Delivered-To: moderator for
honeypots@...35... >References:
<96ddee4f0503081605765dfb98@...11828...> >User-Agent: Internet
Messaging Program (IMP) 3.2.7 >X-IMP-Server: 141.211.144.104
>X-Originating-User: sushant >X-Spam-Checker-Version: SpamAssassin
3.0.0-r20550 (2004-05-28) on mail.securityfocus.com >X-Spam-Status: No,
score=1.3 required=5.0 tests=NO_REAL_NAME,SPF_HELO_FAIL autolearn=no
version=3.0.0-r20550 >X-Spam-Level: * >Return-Path:
honeypots-return-3193-chit0z=hotmail.com@...35...
>X-OriginalArrivalTime: 09 Mar 2005 14:21:55.0021 (UTC)
FILETIME=[585DB7D0:01C524B3] > >I have used PHP with jpgraph to get real
time threat graphs. PHP is very easy to >use with MYSQL and jpgraph is a
good graphic tool. >-Sushant. >Quoting David Jiménez Domínguez
<djdsecurity@...11827...>: > > > Hi folks! > > > > I
need to graph all the traffic in my network (Top ports, Top src_ip, > >
Top attacks) each 5 minutes...In the DataServer I have intalled Mysql > >
and in the firewall I have installed snort-2.3.0 and I created just 4 > >
rules to get all the tcp,udp,icmp and ip traffic in order to graph it > >
with perl and rrdtool and post it in a web page.... > > > > Do you
think it is the best way to do that??? > > Have your ever done something
like that?? What tools do you recommend me?? > > > > Regards >
> > > DJ > > --------------------------------------------------
> > > > > > > > <o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><br clear=all>
<o:p></o:p></span></font></p>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=2 width="100%" align=center>

</span></font></div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>The new, more precise and more powerful MSN Search is here! <a
href="http://g.msn.com/8HMAENUK/2743??PS=47575" target="_top">Take a tour
today.</a> <o:p></o:p></span></font></p>

</div>

</body>

</html>
-------------------------------------------------------
SF email is sponsored by - The IT Product Guide
Read honest & candid reviews on hundreds of IT Products from real users.
Discover which products truly live up to the hype. Start reading now.
http://ads.osdn.com/?ad_id=6595&alloc_id=14396&op=click
_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users