[linux] snort+base
Lubomir Host
rajo na platon.sk
Středa Prosinec 14 11:50:17 CET 2005
On Wed, Dec 14, 2005 at 11:51:08AM +0100, michal.lackovic na sk.schneider-electric.com wrote:
> Vytvořeno BASE v1.1.3 (lynn) on Wed, 14 Dec 2005 11:30:39 +0100
>
> ------------------------------------------------------------------------------
> #(1 - 362205) [2005-12-14 11:29:35] [snort/27] (portscan) Open Port
> IPv4: IP moj webserver -> IP cielova
> hlen=5 TOS=0 dlen=36 ID=50438 flags=0 offset=0 TTL=0 chksum=19482
> Payload: length = 16
>
> 000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 36 33 34 36 0A Open Port: 6346.
>
> toto je uplny vypis toho alarmu.V podstate mi snort bezi dobre, akurat
> nerozumiem tomu preco moj webserver robi portscan na rozne IP.
> Preto som sa pytal ci to snort robi nativne alebo naozaj nieco ine spusta
> ten sken.
Ja by som to vysvetlil asi takto:
klient svojim prehliadacom navstivi stranku. Naraz vsak vytvori viacero
spojeni, cize tvoj webserver pri odpovedi na jeho poziadavky posle
viacero paketov so zdrojovym portom 80 na niekolko roznych portov
u klienta. No a snort toto vyhodnoti ako portscan iduci z tvojho
webservera.
Do pravidla, ktore toto sposobuje by som asi dopisal dalsiu
podmienku:
- sietova prevadzka nie je portscanom, ak zdrojova adresa paketov je IP
webservera a zdrojovy port je 80 (+ port 443, ak prevadzkujes HTTPS)
rajo
--
Lubomir Host 'rajo' <rajo AT platon.sk> ICQ #: 257322664 ,''`.
Platon Group http://platon.sk/ : :' :
Homepage: http://rajo.platon.sk/ `. `'
http://www.gnu.org/philosophy/no-word-attachments.html `-
Další informace o konferenci linux