Comment marche l'onglet "Journaux du systeme de detecti

[PaTou31]

Bonjour

J'aimerai avoir un renseignement.

Comment marche l'onglet "Journaux du systeme de detection d'intrusion"
Est ce que c'est les attaques precise ou tout simplement ce qu'a bloque ipcop en nous

l'indiquant?
Que veut dire le chiffre SID?
"Références: aucune entrée trouvée" est ce que c'est bien que l'attaquant ou autre n'a rien

trouve pour rentrer?

---------------------
Date:: 04/12 07:42:34 Nom: MS-SQL Worm propagation attempt
Priorité: 2 Type:: Misc Attack
Informations sur l'adresse IP: 218.xxx.xx.xx:3509 -> 83.xxx.x.xx:1434
Références: aucune entrée trouvée SID: 2003
---------------------
Date:: 04/12 07:16:03 Nom: SCAN SOCKS Proxy attempt
Priorité: 2 Type:: Attempted Information Leak
Informations sur l'adresse IP: 211.xxx.xxx.xx:1794 -> 83.xxx.x.xx:1080
Références: aucune entrée trouvée SID: 615
---------------------

Ensuite dans "journaux de pare feu" qu'est ce que fait le port "101(HOSTNAME)"
Je n'avais pas encore eu ca dans mes logs, mais depuis 2 jours ca arette pas, toujours avec la meme ip (ip wanadoo), ansi que le port "9555"

Tout en sachant (je ne sais pas si c'est trop bon) que j'ai forwarde des ports "135, 137 UDP, 4662, 5662, 1434 UDP" vers une ip non existante "192.168.0.199"

Merci d'avance pour vos reponses, @ bientôt

[phil039]

Bonjour,

"References" c'est une URL vers une éventuelle source d'info de l'incident.

"SID" est une URL vers la DB du site de Snort qui explique l'IDS

A+

Philippe

[PaTou31]

Donc cela veut dire que c'est juste des attaques qui ont etes bloquées, et personne n'est rentre.

Mais qu'il n'y a pas de references expliquant cette attaque?

[phil039]

Re,

Voici pour le SID 2003: http://www.snort.org/snort-db/sid.html?sid=2003

Pour l'autre tu change 2003 en 605.

Concernant la référence, c'est pas toujours qu'il y en a , lis la doc (moi j'ai une version anglaise) page 35, c'est détaillé.

"References:- hyperlinked URL's to any available sources of information for this type of incident.

Voilà... je ne l'utilise que depuis hier... si quelqu'un a une précision...


... ce qui serait cool ce serait de me répondre au post concernant MySQL... j'ai l'impression d'avoir posé une question idiote...

[PaTou31]

Merci pour tes reponses phil039

@ bientôt

[phil039]

Pas de soucis, avec plaisir!

[phil039]

Pas de soucis, avec plaisir!

[Franck78]

Hello,



Snort detecte. C'est tout. L'attaque (si c'en est une) continue et échoue en génaral. En fait il vaut mieux repérer les attaques suceptibles d'aboutir. Si tu n'as pas de sql-server, inutile de detecter ses attaques.

bye

[PaTou31]

Hello,



Snort detecte. C'est tout. L'attaque (si c'en est une) continue et échoue en génaral. En fait il vaut mieux repérer les attaques suceptibles d'aboutir. Si tu n'as pas de sql-server, inutile de detecter ses attaques.

bye

OK, merci Franck78, je n'ai pas de sql-server.

Les codes frquents, je suis alle voir un peu, mais l'anglais et moi, ca fait 2 voir plus

615, 618, 2003, 469, 1419, 1421, 279, 1420, 1418, 620, 524

Ca en fair deja pour la journee, je vais de ce pas voir a quoi ca correspond.

@ bientôt