[linux] snort+base

michal.lackovic na sk.schneider-electric.com michal.lackovic na sk.schneider-electric.com
Středa Prosinec 14 11:51:08 CET 2005 

Vytvořeno BASE v1.1.3 (lynn) on Wed, 14 Dec 2005 11:30:39 +0100

------------------------------------------------------------------------------
#(1 - 362205) [2005-12-14 11:29:35] [snort/27] (portscan) Open Port
IPv4: IP moj webserver -> IP cielova
      hlen=5 TOS=0 dlen=36 ID=50438 flags=0 offset=0 TTL=0 chksum=19482
Payload: length = 16

000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 36 33 34 36 0A Open Port: 6346.

toto je uplny vypis toho alarmu.V podstate mi snort bezi dobre, akurat 
nerozumiem tomu preco moj webserver robi portscan na rozne IP.
Preto som sa pytal ci to snort robi nativne alebo naozaj nieco ine spusta 
ten sken.

miso






Lubomir Host <rajo na platon.sk>
Sent by: linux-bounces na lists.linux.sk
14.12.2005 11:28
Please respond to Vseobecna diskusia o Linuxe
 
        To:     Vseobecna diskusia o Linuxe <linux na lists.linux.sk>
        cc: 
        Subject:        Re: [linux] snort+base


On Wed, Dec 14, 2005 at 11:19:56AM +0100, 
michal.lackovic na sk.schneider-electric.com wrote:
> Zdravim,
>
> na svojom webservery pouzivam snort+base na analyzu utokov.
> Problem je v tom, ze najcastejsi zdroj skenovania portov je vlastne moj
> webserver.
> Je to nejaka vlastnost snortu?
> Ak ano da sa nejako vypnut?

Snort ma nadefinovanych strasne vela pravidiel. A pravdepodobne ti to
sposobuje nejake zle napisane pravidlo. Skus podla nejakych klucovych
slov najst, ktore pravidlo to je a porozmyslaj nad jeho vypnutim.

Ale konkretna hlaska zo snortu, ktora ti vadi, by nam povedala viac.

rajo

--
Lubomir Host 'rajo' <rajo AT platon.sk>   ICQ #:  257322664   ,''`.
Platon Group                              http://platon.sk/  : :' :
Homepage: http://rajo.platon.sk/                             `. `'
http://www.gnu.org/philosophy/no-word-attachments.html         `-

_______________________________________________
https://lists.linux.sk/mailman/listinfo/linux
Prehladavanie archivu: http://search.lists.linux.sk
Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
------------- další část ---------------
HTML příloha byla odstraněna...
URL: http://lists.linux.sk/pipermail/linux/attachments/20051214/2e4f9cf5/attachment.html

Další informace o konferenci linux