[linux] snort+base

Matus UHLAR - fantomas uhlar na fantomas.sk
Středa Prosinec 14 12:05:30 CET 2005


> On Wed, Dec 14, 2005 at 11:51:08AM +0100, michal.lackovic na sk.schneider-electric.com wrote:
> > ------------------------------------------------------------------------------
> > #(1 - 362205) [2005-12-14 11:29:35] [snort/27] (portscan) Open Port
> > IPv4: IP moj webserver -> IP cielova
> >       hlen=5 TOS=0 dlen=36 ID=50438 flags=0 offset=0 TTL=0 chksum=19482
> > Payload: length = 16
> > 
> > 000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 36 33 34 36 0A Open Port: 6346.

On 14.12 11:50, Lubomir Host wrote:
> klient svojim prehliadacom navstivi stranku. Naraz vsak vytvori viacero
> spojeni, cize tvoj webserver pri odpovedi na jeho poziadavky posle
> viacero paketov so zdrojovym portom 80 na niekolko roznych portov
> u klienta. No a snort toto vyhodnoti ako portscan iduci z tvojho
> webservera.

Zle nakonfigurovany portscan detektor je horsi ako ziaden.
A potom ludia posielaju maily typu:

"vas server www.firma.sk sa z portu 80 dobijal na moj internet explorer"

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
How does cat play with mouse? cat /dev/mouse



Další informace o konferenci linux