[Probleme] (snort_decoder) WARNING: Not IPv4 datagram!

[ewen]

Bonjour à tous,

depuis quelques jours je rencontre un probleme de deconnexion aléatoire. A chaque fois que la deco se produit de remarque la même entrée dans les log IDS :

voici le dernier en date

Code: Tout sélectionner

Date:   07/24 12:01:06    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:06    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:05    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:02    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:02    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:01    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a

ces entrées refletent-elle une attaque qui entraine la deconnexion ou alors est-ce la deconnexion qui engendre cette entrée ? (l'oeuf ou la poule )

comment faire pour avoir plus d'infos, au cas ou, sur une eventuelle attaque ?
et surtout comment regler ce probleme ?

Quelques infos sur ma config :

Freebox (routeur off)
IPCop 1.4.16 + Guardian (red/green/orange/blue)
1 Poste XP + 1 poste linux en green
1 serveur LAMP + Teamspeak (sur le green pour l'instant, en test mais redirection red -->green port 8667, je sais c'est malllll , mais il part en orange bientôt )

Merci d'avance à tous

[ewen]

Je reviens à la surface avec mon probleme (qui n'attire pas les foules )

Les decos sont de plus en plus rapprochées, donc de plus en plus agaçant de ne pas comprendre ..

J'ai regarder les logs, passer rkhunter, lu et relu les entrées (innombrables d'ailleur) du pare-feu et je ne comprends toujours pas

par contre, j'ai tester avec NMap, depuis un poste dans le vert, en scannant mon ip publique je trouve les ports suivants ouvert :

tcp 53
tcp 81
tcp 222
tcp 445
tcp 5555
tcp 6666

alors 53, 81, 222, 445 je suis ok mais 5555 et 6666 alors eux je ne trouve aucunes bonnes raison.

j'ai chercher à quoi il pouvaient bien correspondre et je trouve :

6666 Tcp - DarkConnectionInside - Trojan Dark Connection Inside
6666 Tcp - DarkConnection - Trojan Dark Connection
6666 Tcp - irc-serv - internet relay chat server
6666 Tcp - ircu - IRCU
6666 Tcp - NetBusworm - Trojan NetBus worm
6666 Tcp - TCPShell.c - Trojan TCPShell.c

5555 Tcp - ServeMe - Trojan ServeMe

etant donné que je n'ai jamais mis de serveur IRC, ni meme ouvert ces ports manuellement je me pose des questions ....

comment fermer ces ports ?
est-ce que mon ipcop est encore fiable ou alors une bonne reinstallation s'impose t-elle ?

Merci d'avance

[jdh]

Un IPCOP, il ne faut pas le laisser seul ! Il faut TOUJOURS ajouter BOT, ne serait parce que autoriser Green vers Red par défaut c'est mal !

53 : c'est le DNS : il n'y a aucune raison que ton réseau fournisse un DNS sur Internet
81, 222, 445 : cela fait un peu beaucoup de port pour administrer.
5555, 6666 : ce sont des ports très inhabituels : ils n'ont pas été ouverts par hasard.

[ewen]

c'est bien ce qu'il me semble pour les ports 5555 et 6666

pour le 53, c'est curieux
pour 445 c'est ipcop
pour 81 c'est popfile
pour 222 c'est ssh que j'ouvre au besoin

il y a possibilité de les fermer à la main ? car la derniere fois que j'ai installé BoT ça m'a mis le reseau en rideau j'hesite encore. Sinon une bonne reinstallation est-elle une solution salvatrice ?

[micjack]

Salut,

Tu dis faire un NMap depuis ton réseau Green, alors il une chose de trés claire, c'est que tu as les résultats des ports ouverts sur le FW depuis le réseau Green et non pas d'internet vers Red

Je pense déja aux questions, Et pourquoi alors ? puisque je met mon adresse publique ?
Parce que, ton test va prendre le chemin qui détien l'IP, et ici, c'est ton modem/router, donc il ne va pas aller faire un allé retour d'internet sur ton modem/routeur, puisque l'IP est déja sur de ton Firewall.

Par exemple, dans un réseau Green avec un navigateur, que tu tape l'IP d'administration, ou ton ip publique tu vera que tu arrivera à ton interface d'administration, mais pas depuis un poste distant depuis internet

En bref, ce sont des ports sur le routeur que tu vois depuis le Green, mais pas du coté Red.

[jdh]

Très juste, micjack ! (je n'avais pas été attentif à Green).

Bien évidemment, s'il y a un nmap à faire c'est du côté Red, soit localement s'il y a un routeur (et en mettant un switch), soit à distance à partir d'un accès internet (non filtré).

Le port 53 est naturellement disponible à partir de Green mais j'ai du mal à comprendre les ports 5555 et 6666.