[linux] snort+base
Matus UHLAR - fantomas
uhlar na fantomas.sk
Středa Prosinec 14 12:05:30 CET 2005
> On Wed, Dec 14, 2005 at 11:51:08AM +0100, michal.lackovic na sk.schneider-electric.com wrote:
> > ------------------------------------------------------------------------------
> > #(1 - 362205) [2005-12-14 11:29:35] [snort/27] (portscan) Open Port
> > IPv4: IP moj webserver -> IP cielova
> > hlen=5 TOS=0 dlen=36 ID=50438 flags=0 offset=0 TTL=0 chksum=19482
> > Payload: length = 16
> >
> > 000 : 4F 70 65 6E 20 50 6F 72 74 3A 20 36 33 34 36 0A Open Port: 6346.
On 14.12 11:50, Lubomir Host wrote:
> klient svojim prehliadacom navstivi stranku. Naraz vsak vytvori viacero
> spojeni, cize tvoj webserver pri odpovedi na jeho poziadavky posle
> viacero paketov so zdrojovym portom 80 na niekolko roznych portov
> u klienta. No a snort toto vyhodnoti ako portscan iduci z tvojho
> webservera.
Zle nakonfigurovany portscan detektor je horsi ako ziaden.
A potom ludia posielaju maily typu:
"vas server www.firma.sk sa z portu 80 dobijal na moj internet explorer"
--
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
How does cat play with mouse? cat /dev/mouse
Další informace o konferenci linux