[Résolu] Journal IDS 'saturé' par des 'Not IPv4 datagram'

[m2nis]

Bonjour,

Plus le temps passe et plus mon journal de détection des intrusions contients d'alertes identiques comme celle-ci:

Nom: (snort_decoder) WARNING: Not IPv4 datagram!
Références: aucune entrée trouvée
Pour le reste (sauf la date), c'est toujours "n/a".

Tout ceci est-il bien normal? Si oui (ip v6?), y a-t-il un moyen de supprimer ces alertes, car ce matin, c'est déjà près de 3000 alertes (oui, trois mille) en moins de deux heures...

Merci pour vos lumières.

[m2nis]

ce matin, c'est déjà près de 3000 alertes (oui, trois mille) en moins de deux heures...

Suis-je vraiment le seul à expérimenter ce "problème"? Nooooon? Ou peut-être suis-je le seul à m'en préoccuper?

En recherchant un peu sur les messages passés du forum, j'ai retrouvé une ou deux personnes qui avaient le même problème, mais personnes n'a vraisemblablement réussi à donner une explication... ou une solution pour désengorger le journal avec ces informations inexploitables: sans ip d'origine ni lien vers snort.org pour plus d'explication, je suis un peu le bec dans l'eau...

[Gandalf]

Je ne sais pas d'où proviennent ces alertes, mais de mémoire je sais que l'on peut la supprimer des logs de snort en mettant la ligne correspondante dans snort.conf en commentaire par exemple ! Comme il y a longtemps que je n'utilise plus IPCOP il faut que quelqu'un te donne le chemin vers le fichier exact !

[mstotor]

salut, sans trops m'avancer est ce que ce n'est pas une maniere erronée de snort de signaler des collisions ou des paquets mal formés due au debut d'une panne de la carte reseau RED/ou du materiel modem associé ?
dans etat du reseau, il y a il des erreurs ?
changer la carte reseau et reparametrer via setup ne prends pas trois heures pour tenter de t'y retrouver

[m2nis]

sans trops m'avancer est ce que ce n'est pas une maniere erronée de snort de signaler des collisions ou des paquets mal formés due au debut d'une panne de la carte reseau RED/ou du materiel modem associé ?

J'espère que ce n'est pas ça...

dans etat du reseau, il y a il des erreurs ?

Mazette ! Sur Red, j'ai:
RX packets:3207182 errors:2
TX packets:2569598 errors:79585

Va peut-être falloir creuser de ce côté, effectivement...

Merci pour ces infos !

[Gesp]

Maintenant la meilleur manière d'inactiver une règle snort n'est plus de la commenter dans /etc/snort/(le nom du fichier).rules mais de le faire dans /var/ipcop/snort/oinkmaster.conf (voir la syntaxe dans ce fichier).

Cela permet de garder le réglage après mise à jour et d'inactiver règle par règle avec le numéro de sid et non pas toutes celles contenues dans un fichier rules (ce qui se passe si on modifie snort.conf).

Par exemple pour désactiver la règle sid: 524, ajouter dans /var/ipcop/snort/oinkmaster.conf:
disablesid 524

Néanmoins, cela ne résoud pas les problèmes matériels d'une carte.

[m2nis]

Maintenant la meilleur manière d'inactiver une règle snort [...]

Visiblement, il s'agit bien d'un problème matériel, mais peut-être pas "en dur". Le serveur a du être arrêté pour d'autres raisons et depuis son redémarrage, un grand vide du côté de l'IDS et plus aucune erreur dans l'état du réseau. A surveiller quand même...

Mais du coup, je ne vais surtout pas modifier les règles (mais je garde la solution dans un petit coin). Elles permettent finalement de mettre le doigt sur ce qui ne va pas. Quand des âmes charitables vous aident, en tous les cas.

[m2nis]

Bon. Finalement, j'ai trouvé le véritable coupable sur ce coup (presque par hasard). Ce n'était pas la carte réseau mais... un programme sur une machine de green En l'occurence "Radio fr solo". Dès qu'il est en fonction, il génère environ un message d'erreur à la seconde! Donc: ->[] !!!

[mstotor]

hé hé jolie trouvaille

++

[timomai]

je confirme
qd j'ecoute la radio grace a tv-radio.com, j'ai aussi ce type d'erreurs IDS

Franck