bonjour a tous
je viens d'installer snort sur mon pc et je me connect a internet via un modem ethernet speedtouch 510 Je me suis rendu compte que SNORT detecteé regulierement une attaque de 192.168.100.1 vers 224.0.0.4 (le cve est le suivant : CAN-2003-0567 BAD-TRAFFIC IP Proto 103 (PIM) src ip 192.168.100.1 dest ip 224.0.0.4, or l'adresse de mon modem est en 10.0.0.. et l'adresse ip de mon pc et aussi en 10.0.0...
Je ne comprend pas ce que viennent faire ces deux adresses dans mes alertes et si quelqu'un a une ideée merci d'avance.
speedtouch 510 et snort
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
speedtouch 510 et snort
par eloreg » 21 Juin 2004 19:12
- eloreg
- Matelot
- Messages: 9
- Inscrit le: 21 Juin 2004 19:02
par Fesch » 21 Juin 2004 21:37
Bon, tout d'abord ce serait gentil de nous donner ton schéma de réseau (en ASCII en utilisant la balise Code) et de bien préciser si ton modem est en mode "bridgé" (pas de routage, modem PPPoE uniquement) ou non ...
Pourquoi lis-tu ceci???
-
Fesch - Amiral
- Messages: 2505
- Inscrit le: 11 Sep 2003 00:00
- Localisation: Luxembourg
par eloreg » 22 Juin 2004 15:21
tout d'abord, g laisser le modem en bridge autrement j'aurais mis routeur
pour le schema avec la balise code je sais pas faire mais c pas tres compliquer. J'ai j'ai brancher la carte reseau (du pc : ip 10.0.0...) sur la prise rj45 ( ip 10.0.0....) du modem et la prise rj11 du modem sur ma prise telephonique. ensuite g installer snort et j'ai remarquer l'alerte suivante :
BAD-TRAFFIC IP Proto 103 (PIM) 2004-06-22 15:18:01 192.168.100.1 224.0.0.13 PIM
avec le cve suivant : http://cve.mitre.org/cgi-bin/cvename.cg ... -2003-0567
je ne comprend pas ce que viennent faire ces deux adresses qui ne corresponde pas du tout aux ip de mon reseau. surtout la 192.168.100.1
voila j'espere que c plus explicite.
pour le schema avec la balise code je sais pas faire mais c pas tres compliquer. J'ai j'ai brancher la carte reseau (du pc : ip 10.0.0...) sur la prise rj45 ( ip 10.0.0....) du modem et la prise rj11 du modem sur ma prise telephonique. ensuite g installer snort et j'ai remarquer l'alerte suivante :
BAD-TRAFFIC IP Proto 103 (PIM) 2004-06-22 15:18:01 192.168.100.1 224.0.0.13 PIM
avec le cve suivant : http://cve.mitre.org/cgi-bin/cvename.cg ... -2003-0567
je ne comprend pas ce que viennent faire ces deux adresses qui ne corresponde pas du tout aux ip de mon reseau. surtout la 192.168.100.1
voila j'espere que c plus explicite.
- eloreg
- Matelot
- Messages: 9
- Inscrit le: 21 Juin 2004 19:02
par Fesch » 22 Juin 2004 21:40
Hm, alors la .. c'est vraiment étrange. Est-ce que tu as des VPN actifs? Sinon, un "ifconfig" sous IpCOP il t'indique quoi?
Autre chose: C'est quelle version d'IpCOP que tu utilises? Si une récente, est-ce que c'est Snort RED ou Snort GREEN qui lance cette erreur?
Autre chose: C'est quelle version d'IpCOP que tu utilises? Si une récente, est-ce que c'est Snort RED ou Snort GREEN qui lance cette erreur?
Pourquoi lis-tu ceci???
-
Fesch - Amiral
- Messages: 2505
- Inscrit le: 11 Sep 2003 00:00
- Localisation: Luxembourg
par MoiCVincent » 04 Juil 2004 20:41
hum ...
c'est peut etre une attaque du genre IP Spoofing qui est detectée par SNORT !
c'est peut etre une attaque du genre IP Spoofing qui est detectée par SNORT !
Noubliez pas , On est sur terre pour vivre !
-
MoiCVincent - Contre-Amiral
- Messages: 395
- Inscrit le: 08 Jan 2004 01:00
- Localisation: Normandie
par MoiCVincent » 04 Juil 2004 20:50
Ce qui est bizarre c'est l'adresse 224.0.0.13 !
C'est de la classe D ca ( Multicast )???
J'ai du mal a comprendre ce que ca vient faire la !
@+
C'est de la classe D ca ( Multicast )???
J'ai du mal a comprendre ce que ca vient faire la !
@+
Noubliez pas , On est sur terre pour vivre !
-
MoiCVincent - Contre-Amiral
- Messages: 395
- Inscrit le: 08 Jan 2004 01:00
- Localisation: Normandie
10 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)