ICMP PING NMAP par centaine !!!!!

[khidi]

Salut à tous,
Depuis 2 ou 3 jours mon fichier de log SNORT est envahit de centaines de log ICMP PING NMAP Attempted Information Leak SID 469. Je ne sais pas quoi faire, cela rend ilisible le fichier de log qui affiche 600 ou 700 événements par jours, est-ce réelement des scans ou bien serait-il possible que se soit un défaut de config.
D'avance merci de votre aide.

[Barroudeur 13]

Bonjour tout le monde,
Moi aussi j'ai le méme probléme que khidi des centaines de icmp ping nmap et j'ai d'ailleur laissé un post qui n'a jamais eu une seul réponse...

[khidi]

Salut Barroudeur 13, t'es pas chez free par hasard ? réseau 82. et des brouettes ?

[bouchon]

Normalement si vous avez bloqué les pings comme l'a dit antolien vous vous en foutez qu'ils soient logués non?
Si vous voulez vous en débarrassez de ces logs il fo alors mettre un # devant la régle de snort correspondant
Ca évite de pourrir les logs.

[vaneay]

C'est pas parce que tu ne les voit plus que ça résouds le probleme.
Le truc ce serait d'arreter le massacre à sa source.
Je pense qu'un petit extrait des logs snort envoyé au service abuse@votre-fai.domaine ferra l'affaire.
ça prendra peut etre du temps mais au moins ça permet d'avancer.

Sinon pour bouchon ...

Si tu "cache" juste les alarmes logués par snort, c'est pas pour autant qu'elles vont libèrer ta bande passante (download).
Car meme si ipcop bloque ces tentative tu as quand meme un paquet qui arrive et qui à une taille.
Donc sur un gros flood ça peut représenter pas mal ...

Et après on s'étonne que le d/l est pourri ...

[stoker]

salut

juste une intuition....mais depuis quelques jours un virus au doux nom de sasser se balade sur internet.Il n'a pas besoin d'outlook pour se multiplier puisque il exploite une faille de securité du systeme lui meme (genre msblast).Il regarde l'adresse ip du pc verolé (82.160.2.50 par exple) et va executer un ping sur toutes les ip commencant par 82.160.2.0/255.Il ouvre le port 445 sur la machine verolé et s'envoi tout seul comme un grand sur la machine distante(si elle a windaube xp,2000 ou server 2003).
Snort lui voit une attaque ICMP PING NMAP puisque c'est une tentative d'intrusion et non un simple ping.
C'est juste une intuition au vu des informations que j'ai pu glaner ici et là.

[khidi]

Merci pour vos réponses,

Effectivement j'ai bloqué le ping sur ma machine, j'ai pensé à désactivé l'alerte SNORT, mais comme le dit Vaneay ça résoud pas le pb. J'ai envoyé une copie des log à mon FAI et pis on verra bien, y en a marre des rigolos qui font mumuse, pour tester un soft on le fait sur son réseau local pour en voir l'impact, pas à l'exterieur pour faire Ch... les autres.

[gysmovoile]

j'ai exactement le meme probleme ....

j'ai environ 400-500 entrée dans snort qui sont des ICMP PING NMAP

mais bon je suis pas sur que d'envoyer les logs à abuse@free.fr fasse bouger les choses ... surtout que toutes les ips sources sont différentes ....

[vaneay]

Bah en tout cas ça fera avancer un peu les chose car ...
Dans les logs ils auront :

- l'heure
- l'ip spoofé
- l'ip dest ( toi )

donc si les routeurs du FAI gardent une trace des sessions ... en matchant avec l'heure dans les logs.
ils pourront retrouver l'adresse MAC qui a émis ou permis de router le paquet spoofé ... donc on remonte un peu le chemin.

Et dans le pire des cas si ils n'ont pas de logs, il se connecteront en direct sur le routeur et analyserons le traffic en live pour tenter de remonter jusqu'au fauteur de trouble.

[shadowman]

salut all,

j'ai exactement le meme pb depuis le 7/05 a 22h15...
ca sent le sasser tout ca, vous trouvez pas ?
en tout cas, ca me le fait chez mamadou en ip dynamique, sur des ip en 80.x.x.x et 212.x.x.x, dc le pb vient pas de chez free...

[PengouinPdt]

Même soucis sur 9Online...

J'ai appelé le Service Technique ... m'ont répondu qu'ils étaient au courant, mais qu'ils ne pouvaient rien faire de plus ! Car, ils n'allaient pas bloquer tous les ports...