Mirror/zeek
1
0
Fork 0
mirror of https://github.com/zeek/zeek.git synced 2025-10-02 14:48:21 +00:00
Code Issues Projects Releases Packages Wiki Activity Actions 2

change: update btest baselines for rdpeudp-handshake-success

Browse source
This commit is contained in:
Anthony Kasza 2020-04-03 16:11:18 -06:00
parent 243095fd9b
commit d10c9ab667
2 changed files with 11 additions and 2 deletions
Download patch file Download diff file Expand all files Collapse all files

4
testing/btest/Baseline/scripts.base.protocols.rdp.rdpeudp-handshake-success/conn.log
View file

@ -3,8 +3,8 @@
#empty_field (empty) #empty_field (empty)
#unset_field - #unset_field -
#path conn #path conn
#open 2020-04-03-01-14-12 #open 2020-04-03-22-10-17
#fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto service duration orig_bytes resp_bytes conn_state local_orig local_resp missed_bytes history orig_pkts orig_ip_bytes resp_pkts resp_ip_bytes tunnel_parents #fields ts uid id.orig_h id.orig_p id.resp_h id.resp_p proto service duration orig_bytes resp_bytes conn_state local_orig local_resp missed_bytes history orig_pkts orig_ip_bytes resp_pkts resp_ip_bytes tunnel_parents
#types time string addr port addr port enum string interval count count string bool bool count string count count count count set[string] #types time string addr port addr port enum string interval count count string bool bool count string count count count count set[string]
1564522833.059088 CHhAvVGS1DHFjwGM9 ::1 61291 ::1 3389 udp rdpeudp 0.122551 1738 2655 SF - - 0 Dd 5 1978 5 2895 - 1564522833.059088 CHhAvVGS1DHFjwGM9 ::1 61291 ::1 3389 udp rdpeudp 0.122551 1738 2655 SF - - 0 Dd 5 1978 5 2895 -
#close 2020-04-03-01-14-12 #close 2020-04-03-22-10-17

9
testing/btest/Baseline/scripts.base.protocols.rdp.rdpeudp-handshake-success/out
View file

@ -1,2 +1,11 @@
rdpeudp_syn, [orig_h=::1, orig_p=61291/udp, resp_h=::1, resp_p=3389/udp] rdpeudp_syn, [orig_h=::1, orig_p=61291/udp, resp_h=::1, resp_p=3389/udp]
rdpeudp_synack, [orig_h=::1, orig_p=61291/udp, resp_h=::1, resp_p=3389/udp] rdpeudp_synack, [orig_h=::1, orig_p=61291/udp, resp_h=::1, resp_p=3389/udp]
rdpeudp_established, [orig_h=::1, orig_p=61291/udp, resp_h=::1, resp_p=3389/udp], 1
rdpeudp_data is_orig: T, version 1, data: \x16\x03\x03\x00\xb2\x01\x00\x00\xae\x03\x03]@\xb9P+z\x9dq&\xc1a\x1e\x8b\x03\x84\xfe@\xb5>\xa8q\xea*\xb88$\xf0\xf6\xe0\x0f\x99\xda\x00\x00<\xc0,\xc0+\xc00\xc0/\x00\x9f\x00\x9e\xc0$\xc0#\xc0(\xc0'\xc0\x0a\xc0\x09\xc0\x14\xc0\x13\x009\x003\x00\x9d\x00\x9c\x00=\x00<\x005\x00/\x00\x0a\x00j\x00@\x008\x002\x00\x13\x00\x05\x00\x04\x01\x00\x00I\x00\x00\x00\x0e\x00\x0c\x00\x00\x09localhost\x00\x0a\x00\x08\x00\x06\x00\x1d\x00\x17\x00\x18\x00\x0b\x00\x02\x01\x00\x00\x0d\x00\x14\x00\x12\x04\x01\x05\x01\x02\x01\x04\x03\x05\x03\x02\x03\x02\x02\x06\x01\x06\x03\x00#\x00\x00\x00\x17\x00\x00\xff\x01\x00\x01\x00
rdpeudp_data is_orig: F, version 1, data: \x16\x03\x03\x04{\x02\x00\x00Q\x03\x03]@\xb9P\xb4\x96#\x7fT\xb9\xea\x01\xcd\xe7\xe0n)\xd6\xba\xda\x00\x9f9\xf2_\xd1\xea\x1e!\x94MJ T\x09\x00\x00\x16\xd0o\xab\x0ch\xde\x01s0j\xb7\x86\xc3\xdd\xca4g\xcd\xed\xf3]\xc3\x91\xf3\xff\xa6\xea\xc00\x00\x00\x09\x00\x17\x00\x00\xff\x01\x00\x01\x00\x0b\x00\x02\xf2\x00\x02\xef\x00\x02\xec0\x82\x02\xe80\x82\x01\xd0\xa0\x03\x02\x01\x02\x02\x10lZ+T \xba\xcf\xb1J9-\xa3\xf7\xe0\xd3A0\x0d\x06\x09*\x86H\x86\xf7\x0d\x01\x01\x0b\x05\x000\x1d1\x1b0\x19\x06\x03U\x04\x03\x13\x12dc.windomain.local0\x1e\x17\x0d190729195916Z\x17\x0d200128195916Z0\x1d1\x1b0\x19\x06\x03U\x04\x03\x13\x12dc.windomain.local0\x82\x01"0\x0d\x06\x09*\x86H\x86\xf7\x0d\x01\x01\x01\x05\x00\x03\x82\x01\x0f\x000\x82\x01\x0a\x02\x82\x01\x01\x00\x95T\xe3\xc8\x16#\xbc\xa2lL\xa4\x998\xfa5<\xcc\x03?\x87yR\x8fV\xe2o\xfdp\xd9\x0dO\xa8Ue\x1b9+IH\xf9\xf0\x0a\xf9Q\xb3y\x89\x19p\xcd\x8eP\xd98\xf9\xf6\x15\xe5\x8e\xc1\xf9}Ss\xc2\xa2\x1e\xea\x1b\x90\xfbM\x16d\x0f\xffJ\xd9\x91\xad\x0a>9u\x80~+\x1a\xa3\xdb\x94=-s\x09!\x1fI\x9d\xe2I9\x90SO\xc0\x18\xed\x94\xff\xfdM\x93`\x8aq\xbf\x89\xadn\xa6\x1b\xc0\xa2\x12\xe5\xb1-\xa4V\xfe\x1c\xa3\x15\xa0]\xb4\x9b}m\xcd\xcc\xdc\x00c\x91\xc8\xd4F\x86\x1f\xb7\x0emc\x85\xac\xe2\xcf\x8ad\xd7\xaa\x09\xd1\xdd\xe2\xdei\xa5L\xecU\xfc\x03Q\x84J \x15\xe41\xee\x97Z\x0f\xea\x18&\xa8\xc2\xf47\x90(\x1a=\x82%\x81\xf8\xe7\x93\xbc\x89\x08%\x80 \x80\xba\x8e\xbau\xed\xb5\x87\x8e\xb8\x1e\xce\xbcu\xbe;{dc\x04-\x1e\x99:\xca@;\x14\xe8\xd5c\x844\xfeRs\xec_\x03\xc7\x1b7\xb2*o@g\x02\x03\x01\x00\x01\xa3$0"0\x13\x06\x03U\x1d%\x04\x0c0\x0a\x06\x08+\x06\x01\x05\x05\x07\x03\x010\x0b\x06\x03U\x1d\x0f\x04\x04\x03\x02\x0400\x0d\x06\x09*\x86H\x86\xf7\x0d\x01\x01\x0b\x05\x00\x03\x82\x01\x01\x00\x1e\x83\x926eNZ\xb6G\xdc\x84\x919\xed*\x9e\x1d\xa0:uvn^\x8d\x8c5\x9e\xc6*\xb8;\x9b\xe7\xdc\x0d\xfdE\x94\xfa4j\xc4\xf2ij\x1c\xe7\xe9$\x01\x84\x8c\x04\x12\xa1\xa0\xc1^\x9a\xa5O\xc9G\xd2*:j#\xe8w\xc8\xd9.0\xfd\u);d;\xebc\x02\xe6DP\x98i\xa2\x15\xad\xb5\x88,F\xa1Q\x8e\xfa\xd3\xe3Hs@\x7f!9=@j8\xe8\xa7\xe0_a\xfb\xf6\x09,K^\xcf\xc9\xdd\xf0\x900@@\x1e=7\xae\xe5\x99@rd\xdd\x16M\x9b\xd9\x14\xee\xdd&*G\xf9\xf8\x0a\x13\xf2\x9c\xa8\xe1\xd5m:X\xab\xf3\x1a\x09\x0b\xe4t\xaa0\x1b\x0f\xe8H\x13\x9e\xed\x9eH4\x0d\x82\xbc7j\xe9\xb9\xa1\x0e0\xc7\x87\xda\xb1\xc4\x0d\xedC{\xdc}\xc8\x06whD9\x9c\xbbL\x09\x97S\xdep/\xa9I\ \xc0n\xcb\x19~\xc2\x13\x83\xcf?\xb9\xb0\xe5\xfe\xb8\xd5\x9f\x0b\x185K\xce\xe9\xf9\xd1\xe1#n]\xc0\x1eyu\xd1\x0c\x00\x01(\x03\x00\x1d \xe6.|\xa4M\xe5j\x09\xf2\x99\x8a\xfa\x84\x9dX\x97\xa9\x0aE\xf6\xdat\xdf\x9d\xbd&\xbc\x99y\xd4\xbd\x10\x02\x01\x01\x00g\x13\x85\x1d``\xd8}d\xfaq\xca\x02\xdd\xfb\xd9K\x9b\x93\x0f\x9f\x83\xb8\xccw\x86\x7f\xcb\x09 n\xf7\x0f\xfb\xbf[\xe0\x80\xc3\xac!\xb1\xf9M\x1b\xee\xd4B\xe7f\x91H!\x0aa\xcb\xf9H\xcb\xe7\xd6\xfceD\x0f8v\xbd\x1e\xfe9E\xdb\xf7\x09D\xc9\x8aE\xb2\x11\xa0\xf2y\x1a\x16(\x117\xad\x82{\x88\x00qD\xf4+I\x81\xfdQ\x8d\xf9I\xcd\xdb\x85\xbd\xe6Z\xcc\x1ea\x98X\xde\x88\xfe\x8ef\xe9\xf9~-d\x83\xd4@\x96\xac\x18G>8\xa7\x80\x1eA\xdb\x08tsj\x0c:\xd6\x04*\x8c\x01"\x07:p\x07\xb2g\xe3\x9ebW\xd7\xbe\xdd\x00\xb0t\x19*C\x08\xe5\xfc\x9c\x1b\xb7\x8c\xabA\xb3\xc4\xfa\xf4\xd9\xde\x93 s\xfcH/\xb6'\x10\xe5g\xb0e<Hj\x93\xb1\xfb\xa6zB^cy\x06\xd6\xbdQ\xc1\xb2\x82\xa7\xa3\xcd"\xe4VP<{\xcbH^\xe6?y\xb0\xe6VY2\xf5\x14\x8f\x01b\xc2\\xc3*3\xb5\xc8#\xa5\xd2\xab\xf9\xf4\x0e\x00\x00\x00
rdpeudp_data is_orig: T, version 1, data: \x16\x03\x03\x00%\x10\x00\x00! \x98\xdd|\xe49\x09\xeap%\xb1\xb5R\xfa\xf6wL7\xa0\xd6$x@{\x11\xcf\x03\xcavG\xebsZ\x14\x03\x03\x00\x01\x01\x16\x03\x03\x00(\x00\x00\x00\x00\x00\x00\x00\x00\xde \x04\xb8\x1d\xedB\x82p2i\x12\xce\x89\x1bH\x05\xe6o\xb3\xb7\x13Y\xb4\x14D\x09\xbd\xc0/\x9a\xef
rdpeudp_data is_orig: F, version 1, data: \x14\x03\x03\x00\x01\x01\x16\x03\x03\x00(\x00\x00\x00\x00\x00\x00\x00\x00\xdd3$\x90\x9b\xefX\x0a/6WV\xf5\xeb\x11\x80\xf9A\xa1\xbc\x8c\xda\xf4"z\xa1\xe6\xed\xeanH\x86
rdpeudp_data is_orig: T, version 1, data: \x17\x03\x03\x004\x00\x00\x00\x00\x00\x00\x00\x01\xf5\x82\xd0\x7f$Z_\xe1\x07\x88\x84g:\xd8\xb6a@W\x90\x1e\xb82\x1b\xad\xd4c&\x95\x1cL\x90\xd2\x8e\xf5\xfb\xfc6k\xe5B\x19V\xa0\xc4
rdpeudp_data is_orig: F, version 1, data: \x17\x03\x03\x00 \x00\x00\x00\x00\x00\x00\x00\x01\x9b\x87\xbf\xaa\x04\x99F\x17\x92\xa5\xf5%*\x05\x82\xb4\xa9\xf3n\xa9\xa3\xbc\xcb\x98
rdpeudp_data is_orig: T, version 1, data: \x17\x03\x03\x00X\x00\x00\x00\x00\x00\x00\x00\x02\xc6\x07\xdfV\xa5\xd5\xbd\xfb\xbd\x09\xc3(a\xc0U\x94\x90p\xfe7\xc5]\x8d\x11\xdf\x9a9\xc3\xd5>o3\x80\x8aKS\x97\xfbdd\x1b{\xcar\x12\x8bf`h\xa5/\x07\xf1\x08\xff\xe3wx\xe4\xc0\x14aG\x97g@\x9b\x14\xcf`\x98i\x88\xf6\x8fD\x92C*\x83
rdpeudp_data is_orig: F, version 1, data: \x17\x03\x03\x00.\x00\x00\x00\x00\x00\x00\x00\x02\xda'\xd1\xd0\x14z%gn(\xb5\xf7\xf7C\x06dg\x1d\x11b:\xf7\x16[\x86M\x81N\xbe\xea\xa0-]\xdfd\x1c\xc7\xef\x17\x03\x03\x00/\x00\x00\x00\x00\x00\x00\x00\x03\xbd\x1bj4\xf5(6\xb8\x9f$\xdd+\xa0\x84\x03\xf5\x13}\xe0z?\xd5\xe2\x90\xf7\x17\xe0\xf1e\xe1\x09\xb5c\xde&A\xa8N\xe3