Journal IDS

par **kornfr** » 11 Jan 2006 13:02

Bonjour

voila dnas le journal IDS d'ipcop j'ai environ 600 entrees dnas la journal

est ce bien normal d'en avoir autant ?

exemple de ce qui apparait :

Code: Tout sélectionner: Date: 01/11 11:57:22 Nom: SNMP broadcast trap Priorité: 2 Type: Attempted Information Leak Informations sur l'adresse IP: 192.168.0.5:1717 -> 255.255.255.255:162 Références: aucune entrée trouvée SID: 1416 Date: 01/11 11:55:51 Nom: (http_inspect) DOUBLE DECODING ATTACK Priorité: n/a Type: n/a Informations sur l'adresse IP: 213.xxxxx:48066 -> 207.46.216.59:80 Références: aucune entrée trouvée SID: n/a Date: 01/11 11:55:45 Nom: (http_inspect) DOUBLE DECODING ATTACK Priorité: n/a Type: n/a Informations sur l'adresse IP: 213.xxxxxxx:48053 -> 207.68.178.16:80 Références: aucune entrée trouvée SID: n/a Date: 01/11 11:55:45 Nom: (http_inspect) DOUBLE DECODING ATTACK Priorité: n/a Type: n/a Informations sur l'adresse IP: 213.xxxxxx:48052 -> 65.54.194.118:80 Références: aucune entrée trouvée SID: n/a

213.xxxxx c mon ip.

merci

par **CYPRINUS** » 12 Jan 2006 00:26

Bonjour,

Je viens de trouver ces mêmes logs :

Date: 01/11 10:51:34 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33516 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:51:54 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1096 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:51:54 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33542 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:51:56 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1105 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:51:56 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33551 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:01 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1110 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:01 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33558 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:20 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1114 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:20 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33564 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:32 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1120 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:52:32 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33570 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:53:06 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1125 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:53:06 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33577 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:53:35 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1130 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:53:35 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33583 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:54:23 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 192.168.200.50:1133 -> 213.251.131.35:80
Références: aucune entrée trouvée SID: n/a

Date: 01/11 10:54:23 Nom: (http_inspect) DOUBLE DECODING ATTACK
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 83.XXX.XXX.XXX:33586 -> 213.251.131.35:80

Je viens de mettre en service un serveur web sur la DMZ pour la premiere fois,je ne sais pas si c'est lié.

J'ai cherche plus d'infos chez snort : http://www.snort.org/reg-bin/forums.cgi ... pic_id=454

mais je ne vois pas le fichier README.http_inspect qui se trouverai dans /usr/share/doc/packages/snort/README.http_inspect car il n'y a pas de repertoire packages sur mon ipcop (1.4.10). :roll:

Est-ce que c'est grave docteur !

Merci de votre aide

par **dmeu-Obiwan** » 12 Jan 2006 09:57

Bonjour,

Il est normale que le packet IP reviennent sur des ports différents de 80 lors d'échanges de packets IP entre le serveur web et le poste client. L'important, c'est que ces paquets soient redirigés vers le serveur web en port 80 ce qui est le cas visiblement.

Journal IDS

Journal IDS

Qui est en ligne ?