Snort Untuk Mendeteksi Penyusup

Sedikit Latar Belakang

Snort yang dapat diperoleh di http://www.snort.org biasanya di sebut sebagai Network Intrusion Detection System (NIDS). Snort sendiri adalah Open Source yang tersedia di berbagai variasi Unix (termasuk Linux) dan juga Microsoft Windows.

Sebuah NIDS akan memperhatikan seluruh segmen jaringan dimana dia berada, berbeda dengan host based IDS yang hanya memperhatikan sebuah mesin dimana software host based IDS tersebut di pasang. Secara sederhana, sebuah NIDS akan mendeteksi semua serangan yang dapat melalui jaringan komputer (Internet maupun IntraNet) ke jaringan / komputer yang kita miliki.

Sebuah NIDS biasanya digunakan bersamaan dengan firewall, hal ini untuk menjaga supaya snort tidak terancam dari serangan. Sebagai contoh jika snort akan ditempelkan pada interface ISDN ppp0, maka sebaiknya di mesin yang sama di pasang firewall & router  sambungan dial-up-nya. Untuk selanjutnya ada baiknya membaca-baca tentang Firewall-HOWTO atau Firewalling+Masquerading+Diald+dynamic IP-HOWTO, biasa dapat ditemukan di directory /usr/share/doc di Linux, atau mengambil sendiri ke www.linuxdoc.org.

Bagi pengguna yang memasang snort pada mesin yang sering sekali di serang, ada baiknya memasang ACID, Analysis Console for Intrusion Databases, yang merupakan bagian dari AIR-CERT project. ACID menggunakan PHPlot, sebuah library untuk membuat grafik yang baik di PHP, dan ADODB, sebuah library abstraksi untuk menggabungkan PHP ke berbagai database seperti MySQL dan PostgreSQL. Pada homepage ACID tertera bahwa:

"The Analysis Console for Intrusion Databases (ACID) is a PHP-based analysis engine to search and process a database of incidents generated by security-related software such as IDSes and firewalls."

ACID dapat diperoleh melalui http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html. Terus terang instalasi ACID sangat mudah. Mungkin yang agak membingungkan adalah menghubungkan Snort – PHP – ACID – MySQL – Apache Web server, pada kesempatan lain akan di jelaskan.

Teknik Instalasi

Secara umum teknik instalasi snort di Linux sangat mudah. Bagi pemula mungkin ada baiknya menggunakan file RPM yang jauh lebih mudah instalasinya. Pada kesempatan ini saya menggunakan file tar.gz yang sedikit lebih sulit, walaupun sebetulnya tidak terlalu sulit juga. Beberapa langkah persiapan yang perlu dilakukan,

• Ambil source snort, saya biasanya mengambil source snort yang terakhir langsung dari www.snort.org. Biasanya file source tersebut berbentuk snort-*.tar.gz.

• Copykan file tar.gz tersebut ke directory /usr/local/src/

• Buka file snort-*.tar.gz menggunakan perintah # tar zxvf snort-*.tar.gz

• Biasanya source code snort akan terlihat di folder /usr/local/src/snort-*

• Pastikan library untuk capture packet (libpcap) terinstall, jika tidak yakin dapat menggunakan software manager melihat apakah libpcap terinstall. Jika belum terinstall install library libpcap tersebut, jika anda menggunakan Mandrake 8.0 hal ini cukup mudah dilakukan karena library tersebut terdapat pada CD Mandrake tsb.

Setelah semua persiapan selesai dilakukan, langkah yang perlu dilakukan untuk menginstalasi tidak banyak, yaitu:

• Masuk ke directory /usr/local/src/snort-*

cd /usr/local/src/snort-*

• Konfigurasikan snort menggunakan

./configure

untuk konfigurasi standar praktis tidak perlu di apa-apakan, biasanya pada saat konfigurasi ini kita akan diberitahukan jika ada module yang kurang yang perlu di install, seperti libpcap dll. Usahakan untuk mencari module tersebut di CD distribusi Linux yang kita miliki yang biasanya berbentuk RPM & mudah di install.

• Selanjutnya mengcompile source code menggunakan

# make

pastikan pada saat di install Linux di konfigurasi untuk melakukan development. Jika Linux tidak di install untuk melakukan development, compiler gcc biasanya tidak terinstall & kita tidak dapat menjalankan perintah make di atas.

• Setelah source di compile kita menginstall software snort menggunakan

# make install

snort akan di install di directory yang sebenarnya. Default directory tempat instalasi snort adalah /usr/local/bin, /usr/local/man dll. Tentunya kita dapat meletakannya di directory lain selain /usr/local, dengan cara memberikan pilihan –prefix=PATH pada saat melakukan ./configure.

Untuk konfigurasi yang agak aneh-aneh misalnya ingin mengunakan ACID dll, maka kita perlu menambahkan beberapa switch / perintah setelah ./configure, beberapa switch yang mungkin akan digunakan seperti,

--with-snmp

menggunakan SNMP alerting code.

--with-mysql=DIR

mendukung mysql, perlu di on-kan jika kita menggunakan ACID dengan MySQL.

   

--with-odbc=DIR

mendukung database ODBC, perlu di on-kan jika kita menggunakan ACID dengan database yang tidak ada di daftar.

   

--with-postgresql=DIR

mendukung database Postgresql, perlu di on-kan jika kita menggunakan ACID dengan PostgreSQL.

   

--with-oracle=DIR

mendukung database Oracle, perlu di on-kan jika kita menggunakan ACID dengan Oracle.

--with-libpcap-includes=DIR

Jika script konfigurasi gagal memperoleh directory libpcap, maka kita dapat menset secara manual melalui switch ini.

--with-libpcap-libraries=DIR

Jika script konfigurasi gagal memperoleh directory libpcap, maka kita dapat menset secara manual melalui switch ini.

Setelah selesai di instalasi snort dapat langsung digunakan untuk melakukan sniffing & logging, hanya untuk Network Intrusion Detection System (NIDS) kita perlu melakukan setup / konfigurasi snort. Proses konfigurasi akan sangat ditolong dengan membaca manual SnortUsersManual.pdf yang ada di file snort-*.tar.gz. atau menjalankan perintah ./snort –h

Mengoperasikan Snort

Secara umum snort dapat di operasikan dalam tiga (3) buah mode, yaitu

• Sniffer mode, untuk melihat paket yang lewat di jaringan.

• Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.

• Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa  serangan.

Sniffer Mode

Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini,

            ./snort –v

            ./snort –vd

            ./snort –vde

            ./snort –v –d –e

dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu

            -v, untuk melihat header TCP/IP paket yang lewat.

            -d, untuk melihat isi paket.

            -e, untuk melihat header link layer paket seperti ethernet header.

Contoh hasil sniffing paket di jaringan menggunakan perintah /usr/local/bin/snort –v dapat dilihat berikut ini,

[root@gate onno]# /usr/local/bin/snort -v

Log directory = /var/log/snort

Initializing Network Interface eth0

        --== Initializing Snort ==--

Checking PID path...

PATH_VARRUN is set to /var/run/ on this operating system

PID stat checked out ok, PID set to /var/run/

Writing PID file to "/var/run/"

Decoding Ethernet on interface eth0

        --== Initialization Complete ==--

-*> Snort! <*-

Version 1.8.3 (Build 88)

By Martin Roesch (roesch@sourcefire.com, www.snort.org)

04/18-11:32:00.261488 192.168.120.232:2757 -> 192.168.120.255:8859

UDP TTL:64 TOS:0x0 ID:1735 IpLen:20 DgmLen:38

Len: 18

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-11:32:10.261514 192.168.120.232:2758 -> 192.168.120.255:8859

UDP TTL:64 TOS:0x0 ID:1736 IpLen:20 DgmLen:38

Len: 18

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-11:32:20.261518 192.168.120.232:2759 -> 192.168.120.255:8859

UDP TTL:64 TOS:0x0 ID:1737 IpLen:20 DgmLen:38

Len: 18

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

Tampak bahwa antar paket selalu di batasi tanda =+=+=+=+=+. Karena sniffer di aktifkan hanya menggunakan switch –v, maka hanya header network & transport protocol yang diperlihatkan. Dalam contoh di atas protokol yang digunakan adalah Internet Protocol (IP) & User Datagram Protocol (UDP). Kalimat pertama berisi header IP, beberapa informasi yang penting yang dapat dihat di atas dari kalimat pertama adalah,

04/18-11:32:20.261518 192.168.120.232:2759 -> 192.168.120.255:8859

04                                = versi protokol IP yang digunakan

192.168.120.232         = IP address sumber paket

192.168.120.255         = IP address tujuan

2759                            = port sumber

8859                            = port tujuan

Kalimat ke dua berisi protokol UDP, yang berisi antara lain informasi

UDP TTL:64 TOS:0x0 ID:1737 IpLen:20 DgmLen:38

            UDP                = memberitahukan bahwa dia protocol UDP.

            TTL:64            = Time To Live 64, paket maksimal melalui 64 router.

            ID                    = nomor / identitas

            IPLen:20         = panjang byte protokol IP 20 byte

            DgmLen          = panjang byte seluruh paket 38 byte.

Tentunya hasil akan lain jika kita  melihat paket TCP, seperti beberapa contoh berikut,

04/18-11:32:20.573898 192.168.120.114:1707 -> 202.159.32.71:110

TCP TTL:64 TOS:0x0 ID:411 IpLen:20 DgmLen:60 DF

******S* Seq: 0x4E70BB7C  Ack: 0x0  Win: 0x16D0  TcpLen: 40

TCP Options (5) => MSS: 1460 SackOK TS: 6798055 0 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-11:32:20.581556 202.159.32.71:110 -> 192.168.120.114:1707

TCP TTL:58 TOS:0x0 ID:24510 IpLen:20 DgmLen:60 DF

***A**S* Seq: 0x423A85B3  Ack: 0x4E70BB7D  Win: 0x7D78  TcpLen: 40

TCP Options (5) => MSS: 1460 SackOK TS: 163052552 6798055 NOP WS: 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

04/18-11:32:20.581928 192.168.120.114:1707 -> 202.159.32.71:110

TCP TTL:64 TOS:0x0 ID:412 IpLen:20 DgmLen:52 DF

***A**** Seq: 0x4E70BB7D  Ack: 0x423A85B4  Win: 0x16D0  TcpLen: 32

TCP Options (3) => NOP NOP TS: 6798056 163052552

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

Sama seperti sebelumnya maka line pertama di atas adalah milik Internet Protocol (IP), kita dapat melihat bahwa terjadi komunikasi antara IP 202.159.32.71 port 110 dengan IP 192.168.120.114 port 1707.

Di bawah kalimat milik protocol IP, ada satu kalimat yang berisi informasi umum dari  paket yang dikirim merupakan gabungan informasi milik protokol IP & TCP. Beberapa informasi seperti,

TCP TTL:64 TOS:0x0 ID:412 IpLen:20 DgmLen:52 DF

TCP TTL :64   = ada 64 router yang masih bisa di lewati.

TOS:0x0          = Type of Service dari protocol IP, 0x0 adalah servis normal.

IpLen:20         = Panjang protocol IP 20 byte.

DgmLen:52     = Panjang seluruh paket 52 byte.

Selanjutnya ada dua (2) kalimat yang semuanya milik Transmission Control Protocol (TCP).

***A**** Seq: 0x4E70BB7D  Ack: 0x423A85B4  Win: 0x16D0  TcpLen: 32

TCP Options (3) => NOP NOP TS: 6798056 163052552

Yang agak seru adalah melihat state / kondisi sambungan, terlihat dari jenis paket yang dikirim, seperti

***A****       = packet acknowledge

******S*        = paket sinkronisasi hubungan

***A**S*       = paket acknowledge sinkronisasi hubungan

sisanya adalah nomor urut paket data yang dikirim Sequence number (Seq), dan Acknowledge number (Ack) yang menunjukan sejauh ini nomor paket mana yang sudah diterima dengan baik.

Jenis paket lain yang kadang-kadang terlihat di layar adalah paket Address Resolution Protocol (ARP). Contoh adalah,

04/18-11:32:25.451498 ARP who-has 192.168.120.114 tell 192.168.120.1

04/18-11:32:25.451671 ARP reply 192.168.120.114 is-at 0:0:F0:64:96:AE

ARP digunakan untuk menanyakan address dari hardware, seperti ethernet card address, atau callsign amatir radio di AX.25. Dalam contoh di atas 192.168.120.1 menanyakan ke jaringan berapa ethernet address dari 192.168.120.114. Dalam kalimat selanjutnya 192.168.120.114 menjawab bahwa dia menggunakan ethernet card dengan address 00:00:f0:64:96:ae.

Tentunya masih banyak lagi jenis protocol yang akan berseliweran di kabel ethernet atau media komunikasi data anda, untuk mempelajari berbagai protocol ini secara detail sangat disarankan untuk membaca keterangan lengkap dari masing-masing protocol yang dapat di download dari situs milik Internet Engineering Task Force IETF http://www.ietf.org.

Setelah puas melihat-lihat semua paket yang lewat kita dapat menekan tombol Control-C (^C) untuk mematikan program snort. Akan tampak pada layar berbagai statistik yang sangat berguna untuk melihat kondisi jaringan

Snort analyzed 255 out of 255 packets, dropping 0(0.000%) packets

Breakdown by protocol:                Action Stats:

    TCP: 211        (82.745%)         ALERTS: 0

    UDP: 27         (10.588%)         LOGGED: 0

   ICMP: 0          (0.000%)          PASSED: 0

    ARP: 2          (0.784%)

   IPv6: 0          (0.000%)

    IPX: 0          (0.000%)

  OTHER: 15         (5.882%)

DISCARD: 0          (0.000%)

=======================================================================

Fragmentation Stats:

Fragmented IP Packets: 0          (0.000%)

    Fragment Trackers: 0

   Rebuilt IP Packets: 0

   Frag elements used: 0

Discarded(incomplete): 0

   Discarded(timeout): 0

  Frag2 memory faults: 0

=======================================================================

TCP Stream Reassembly Stats:

        TCP Packets Used: 0          (0.000%)

         Stream Trackers: 0

          Stream flushes: 0

           Segments used: 0

   Stream4 Memory Faults: 0

=======================================================================

Snort received signal 2, exiting

[root@gate onno]#

Packet Logger Mode

Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai … Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah

            ./snort –dev –l ./log

            ./snort –dev –l ./log –h 192.168.0.0/24

            ./snort –dev –l ./log –b

perintah yang paling penting untuk me-log paket yang lewat adalah

            -l ./log

yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.

Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti,

            ./snort –dv –r packet.log

            ./snort –dvr packet.log icmp

Intrusion Detection Mode

Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.

Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti

            ./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf

            ./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf

Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.

Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,

            -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.

            -A full, mode alert dengan informasi lengkap.

            -A unsock, mode alert ke unix socket.

            -A none, mematikan mode alert.

Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini.

            ./snort –c snort.conf –l ./log –s –h 192.168.0.0/24

            ./snort –c snort.conf –s –h 192.168.0.0/24

Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,

            ./snort –c snort.conf –b –M WORKSTATIONS

Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini

            /usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D

atau

            /usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D

dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

Setup snort.conf

Secara umum ada beberapa hal yang perlu di set pada snort.conf, yaitu:

• Set konfigurasi dari jaringan kita.
• Konfigurasi pemrosesan sebelum di lakukan proses deteksi penyusup.
• Konfigurasi output.
• Konfigurasi rule untuk melakukan deteksi penyusup.

Secara umum kita terutama perlu menset konfigurasi jaringan saja, sedang setting lainnya dapat dibiarkan menggunakan default yang ada. Khususnya konfigurasi rule jika ingin gampang kita ambil saja contoh file *.rules yang ada di snort.tar.gz.

Konfigurasi jaringan yang perlu dilakukan sebetulnya tidak banyak, hanya mengisi

            var HOME_NET 192.168.0.0/24

memberitahukan snort IP jaringan lokal-nya adalah 192.168.0.0/24 (satu kelas C). Sisanya dapat di diamkan saja menggunakan nilai default-nya.

Bagian konfigurasi output dapat kita mainkan sedikit untuk menset kemana alert & informasi adanya portscan di kirim, secara default akan dimasukan ke /var/log/snort. Sedikit modifikasi perlu dilakukan jika kita menginginkan untuk menggunakan ACID untuk menganalisa alert yang ada. Output perlu dimasukan ke database, seperti MySQL.

Rules biasanya terdapat pada file *.rules. Untuk mengedit sendiri rules agak lumayan, kita membutuhkan pengetahuan yang dalam tentang protokol, payload serangan dll. Untuk pemula sebaiknya menggunakan contoh *.rules yang di sediakan oleh snort yang dapat langsung dipakai melalui perintah include pada snort.conf.

Beberapa contoh rules dari serangan / eksploit dapat dilihat berikut ini,

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32 overflow /bin/sh"; flags:A+; content:"/bin/sh"; reference:bugtraq,2347; reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1324; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT ssh CRC32 overflow NOOP"; flags:A+; content:"|90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90|"; reference:bugtraq,2347; reference:cve,CVE-2001-0144; classtype:shellcode-detect; sid:1326; rev:1;)

Cukup pusing bagi pemula, detail berbagai parameter rules terdapat di SnortUsersManual.pdf yang juga di sediakan bersama source snort.tar.gz.

Melihat Hasil Deteksi Penyusup

Default snort hasil deteksi penyusup atau paket yang mencurigakan akan disimpan pada folder /var/log/snort. Catatan kemungkinan serangan portscan akan disimpan pada file /var/log/snort/portscan.log, sedang untuk alert akan di letakan pada folder-folder berdasarkan alamat IP sumber serangan karena saya menggunakan mode alert –A full.

Contoh cuplikan isi portscan.log dapat dilihat berikut ini,

Apr  4 19:00:21 202.159.32.71:110 -> 192.168.120.114:2724 NOACK 1*U*P*S*

Apr  4 20:47:43 168.143.117.4:80 -> 192.168.120.114:2916 NOACK 1*U*P*S*

Apr  5 06:04:04 216.136.171.200:80 -> 192.168.120.114:3500 VECNA 1*U*P***

Apr  5 17:28:20 198.6.49.225:80 -> 192.168.120.114:1239 NOACK 1*U*P*S*

Apr  6 09:35:56 202.153.120.155:80 -> 192.168.120.114:3628 NOACK 1*U*P*S*

Apr  6 17:44:06 205.166.76.243:80 -> 192.168.120.114:1413 INVALIDACK *2*A*R*F

Apr  6 19:55:03 213.244.183.211:80 -> 192.168.120.114:43946 NOACK 1*U*P*S*

Apr  7 16:07:57 202.159.32.71:110 -> 192.168.120.114:1655 INVALIDACK *2*A*R*F

Apr  7 17:00:17 202.158.2.4:110 -> 192.168.120.114:1954 INVALIDACK *2*A*R*F

Apr  8 07:35:42 192.168.120.1:53 -> 192.168.120.114:1046 UDP 

Apr  8 10:23:10 192.168.120.1:53 -> 192.168.120.114:1030 UDP 

Apr  8 10:23:49 192.168.120.1:53 -> 192.168.120.114:1030 UDP 

Apr 20 12:03:51 192.168.120.1:53 -> 192.168.120.114:1077 UDP 

Apr 21 01:00:11 202.158.2.5:110 -> 192.168.120.114:1234 INVALIDACK *2*A*R*F

Apr 21 09:17:01 66.218.66.246:80 -> 192.168.120.114:42666 NOACK 1*U*P*S*

Apr 21 11:00:28 202.159.32.71:110 -> 192.168.120.114:1800 INVALIDACK *2*A*R*F

Secara umum kita akan dapat membaca tanggal & jam serangan, IP address & port sumber, IP address & port tujuan, protokol yang digunakan, kesalahan yang terjadi beserta pointer pada protokol TCP-nya seperti,

            U = Urgent

            A = Acknowledge

            P = Push

            F = Final

Detail dari berbagai pointer TCP tersebut dapat diketahui dengan membaca detail protokol TCP.

Contoh alert dari dapat dilihat berikut ini,

[**] INFO - Possible Squid Scan [**]

04/20-14:06:49.953376 192.168.0.33:1040 -> 192.168.0.1:3128

TCP TTL:128 TOS:0x0 ID:393 IpLen:20 DgmLen:48 DF

******S* Seq: 0x60591B9  Ack: 0x0  Win: 0x4000  TcpLen: 28

TCP Options (4) => MSS: 1460 NOP NOP SackOK

Tampak pada contoh alert di atas, ada usaha untuk menscan keberadaan Sqiud proxy server pada 192.168.0.1 port 3128 dari workstation 192.168.0.33 port 1040. Workstation 192.168.0.33 mengirimkan paket Sinkronisasi TCP terlihat dari ******S*.