(snort_decoder) WARNING: Not IPv4 datagram!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

(snort_decoder) WARNING: Not IPv4 datagram!

Messagepar Barroudeur 13 » 02 Juil 2004 00:24

Bonsoir,
Mon problème est qu'une personne ou autre derriere une ip de chez neuf telecom c'est amusé à déclancher l'ids de mon ipcop et ceci 250 fois environ par quart d'heure jusqu'a ce que je change d'ip. Le message affiché par ipcop été (snort_decoder) WARNING: Not IPv4 datagram! Pourriez vous m'indiquer à quoi cela correspond?

Vous remerciant ;-)
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA
Haut

Messagepar MoiCVincent » 02 Juil 2004 14:01

Salut !

Snort t'indique qu'il a recu un paquet avec un entete qui ne correspond pas a celle definie dans la RFC correspondante !

Peut etre une attaque qui consiste a envoyer un paquet magique forgé a la main qui pourrait creer des problemes de tybe buffer overflow !

Les Paquets Proviennent tous de la meme adresse ?
Noubliez pas , On est sur terre pour vivre !
Image
Avatar de l’utilisateur
MoiCVincent
Contre-Amiral
Contre-Amiral
 
Messages: 395
Inscrit le: 08 Jan 2004 01:00
Localisation: Normandie
Haut

Messagepar Barroudeur 13 » 02 Juil 2004 17:04

Oui, exact les paquets proviennent tous de la méme adresse. J'ai regardé les logs de l'ids et hier en 30 min, j'ai eu autant de déclanchement de l'ids qu'en une demi journée normal c'est à dire 1500.
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA
Haut

Messagepar MoiCVincent » 02 Juil 2004 17:52

kool !

si tu as un rigolo qui s'ammuse tu peux commencer par bloquer son adresse !
Tu peux aussi essayer de te renseigner , pour voir si c'est un entreprise ou un particulier !
Noubliez pas , On est sur terre pour vivre !
Image
Avatar de l’utilisateur
MoiCVincent
Contre-Amiral
Contre-Amiral
 
Messages: 395
Inscrit le: 08 Jan 2004 01:00
Localisation: Normandie
Haut

Messagepar Barroudeur 13 » 02 Juil 2004 18:54

Comment puis-je faire pour me renseigner?
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA
Haut

Messagepar erreipnaej » 02 Juil 2004 19:19

Bonjour,
Pour bloquer ce genre de plaisantin tu as Guardian qui réagit dés que snort le détectes.
Vois ces threads: http://forums.ixus.net/viewtopic.php?p=132635 et http://forums.ixus.net/viewtopic.php?t=14996
Le premier, je viens juste de poster dessus et le second m'avait permis de découvrir Guardian.
Pour voir d'ou ca viens dans les logs de snort, tu cliques sur l'IP et tu ouvres une page de Whois. Tu trouveras dessus toutes les infos sur le provider avec les emails genre abuse@provider.com.
Libre à toi de leur faire un joli mail expliquant le probléme avec une copie des logs de snort.
Si il ne font rien tout de suite, je soupconne qu'il réagissent d"s que l'utilisateur commence à générer ce type de réclamations.
Bonne chasse au pirates!
@+
Avatar de l’utilisateur
erreipnaej
Vice-Amiral
Vice-Amiral
 
Messages: 614
Inscrit le: 14 Déc 2003 01:00
Localisation: Val d'Oise
Haut

Messagepar Barroudeur 13 » 02 Juil 2004 19:50

Merci erreipnaej et MoiCVincent ^^
Avant ipcop : freebox 2Mega
IpCop 1.4.0 : p2 400MHz, CM Asus P2B, 192 Mo SDram, DD 1.5Go, Lecteur cd 50x, 3 carte rzo.
Derriere ipcop : 2 pcs persos 2800+ & 2400+, 1 divxbox sous geexbox, un serveur SME etc..
Avatar de l’utilisateur
Barroudeur 13
Major
Major
 
Messages: 89
Inscrit le: 01 Avr 2004 02:28
Localisation: PACA
Haut

Messagepar KasparoV » 05 Mars 2005 15:00

pour ma part, j'ai la même série d'alerte depuis la réinstal' d'IPCop et comme je n'ai aucune IP d'identifier (Informations sur l'adresse IP: n/a:n/a -> n/a:n/a) j'ai pensé à un bug de snort mais si c'était le cas, Snort donnerait un code d'erreur ainsi qu'un lien, mais il n'en est rien. Les réponses trouvées sur Ixus ne m'avance pas plus. une piste?

bonjour et bon samedi à tous :mrgreen:
P200MMX ¤ 1Go ¤ 64Mo ¤ Cartes Realteck 8139 ¤ Freebox en Ethernet ¤ IPCop 1.4.5 en DHCP ¤ Free dégroupé

linux est votre ami mais si vous avez quelques difficultés à le comprendre venez sur http://linuxiens.net/forum (pub: https://www.h-tech.fr )
Avatar de l’utilisateur
KasparoV
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 27 Août 2003 00:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz