[linux] snort+base

Lubomir Host rajo na platon.sk
Středa Prosinec 14 11:50:17 CET 2005


On Wed, Dec 14, 2005 at 11:51:08AM +0100, michal.lackovic na sk.schneider-electric.com wrote:
> Vytvořeno BASE v1.1.3 (lynn) on Wed, 14 Dec 2005 11:30:39 +0100
> 
> ------------------------------------------------------------------------------
> #(1 - 362205) [2005-12-14 11:29:35] [snort/27] (portscan) Open Port
> IPv4: IP moj webserver -> IP cielova
>       hlen=5 TOS=0 dlen=36 ID=50438 flags=0 offset=0 TTL=0 chksum=19482
> Payload: length = 16
> 
> 000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 36 33 34 36 0A Open Port: 6346.
> 
> toto je uplny vypis toho alarmu.V podstate mi snort bezi dobre, akurat 
> nerozumiem tomu preco moj webserver robi portscan na rozne IP.
> Preto som sa pytal ci to snort robi nativne alebo naozaj nieco ine spusta 
> ten sken.

Ja by som to vysvetlil asi takto:

klient svojim prehliadacom navstivi stranku. Naraz vsak vytvori viacero
spojeni, cize tvoj webserver pri odpovedi na jeho poziadavky posle
viacero paketov so zdrojovym portom 80 na niekolko roznych portov
u klienta. No a snort toto vyhodnoti ako portscan iduci z tvojho
webservera.

Do pravidla, ktore toto sposobuje by som asi dopisal  dalsiu
podmienku:

- sietova prevadzka nie je portscanom, ak zdrojova adresa paketov je IP
  webservera a zdrojovy port je 80 (+ port 443, ak prevadzkujes HTTPS)

rajo

-- 
Lubomir Host 'rajo' <rajo AT platon.sk>   ICQ #:  257322664   ,''`.
Platon Group                              http://platon.sk/  : :' :
Homepage: http://rajo.platon.sk/                             `. `'
http://www.gnu.org/philosophy/no-word-attachments.html         `-



Další informace o konferenci linux