[Probleme] (snort_decoder) WARNING: Not IPv4 datagram!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Probleme] (snort_decoder) WARNING: Not IPv4 datagram!

Messagepar ewen » 24 Juil 2007 12:13

Bonjour à tous,

depuis quelques jours je rencontre un probleme de deconnexion aléatoire. A chaque fois que la deco se produit de remarque la même entrée dans les log IDS :

voici le dernier en date
Code: Tout sélectionner
Date:   07/24 12:01:06    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:06    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:05    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:02    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:02    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a
Date:   07/24 12:01:01    Nom:   (snort_decoder) WARNING: Not IPv4 datagram!
Priorité:   n/a    Type:   n/a
Informations sur l'adresse IP:    n/a:n/a -> n/a:n/a
Références:   aucune entrée trouvée   SID:    n/a


ces entrées refletent-elle une attaque qui entraine la deconnexion ou alors est-ce la deconnexion qui engendre cette entrée ? (l'oeuf ou la poule :D )

comment faire pour avoir plus d'infos, au cas ou, sur une eventuelle attaque ?
et surtout comment regler ce probleme ?

Quelques infos sur ma config :

Freebox (routeur off)
IPCop 1.4.16 + Guardian (red/green/orange/blue)
1 Poste XP + 1 poste linux en green
1 serveur LAMP + Teamspeak (sur le green pour l'instant, en test mais redirection red -->green port 8667, je sais c'est malllll :oops: , mais il part en orange bientôt )

Merci d'avance à tous
ewen
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 24 Mai 2005 11:14
Localisation: Roubaix (59)

Messagepar ewen » 29 Juil 2007 18:51

Je reviens à la surface avec mon probleme (qui n'attire pas les foules :D )

Les decos sont de plus en plus rapprochées, donc de plus en plus agaçant de ne pas comprendre ..

J'ai regarder les logs, passer rkhunter, lu et relu les entrées (innombrables d'ailleur) du pare-feu et je ne comprends toujours pas :cry:

par contre, j'ai tester avec NMap, depuis un poste dans le vert, en scannant mon ip publique je trouve les ports suivants ouvert :

tcp 53
tcp 81
tcp 222
tcp 445
tcp 5555
tcp 6666

alors 53, 81, 222, 445 je suis ok mais 5555 et 6666 alors eux je ne trouve aucunes bonnes raison.

j'ai chercher à quoi il pouvaient bien correspondre et je trouve :

6666 Tcp - DarkConnectionInside - Trojan Dark Connection Inside
6666 Tcp - DarkConnection - Trojan Dark Connection
6666 Tcp - irc-serv - internet relay chat server
6666 Tcp - ircu - IRCU
6666 Tcp - NetBusworm - Trojan NetBus worm
6666 Tcp - TCPShell.c - Trojan TCPShell.c

5555 Tcp - ServeMe - Trojan ServeMe

etant donné que je n'ai jamais mis de serveur IRC, ni meme ouvert ces ports manuellement je me pose des questions ....

comment fermer ces ports ?
est-ce que mon ipcop est encore fiable ou alors une bonne reinstallation s'impose t-elle ?

Merci d'avance
ewen
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 24 Mai 2005 11:14
Localisation: Roubaix (59)

Messagepar jdh » 29 Juil 2007 22:08

Un IPCOP, il ne faut pas le laisser seul ! Il faut TOUJOURS ajouter BOT, ne serait parce que autoriser Green vers Red par défaut c'est mal !

53 : c'est le DNS : il n'y a aucune raison que ton réseau fournisse un DNS sur Internet
81, 222, 445 : cela fait un peu beaucoup de port pour administrer.
5555, 6666 : ce sont des ports très inhabituels : ils n'ont pas été ouverts par hasard.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ewen » 29 Juil 2007 22:17

c'est bien ce qu'il me semble pour les ports 5555 et 6666

pour le 53, c'est curieux
pour 445 c'est ipcop
pour 81 c'est popfile
pour 222 c'est ssh que j'ouvre au besoin

il y a possibilité de les fermer à la main ? car la derniere fois que j'ai installé BoT ça m'a mis le reseau en rideau j'hesite encore. Sinon une bonne reinstallation est-elle une solution salvatrice ?
Freebox <> IP Cop 1.4.10

Green -> Lan 1 XP + 1 Win 2000 + 1 kubuntu
DMZ -> SME 6.0 web / ftp (pas fini) / teamspeak
ewen
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 24 Mai 2005 11:14
Localisation: Roubaix (59)

Messagepar micjack » 29 Juil 2007 22:26

Salut,

Tu dis faire un NMap depuis ton réseau Green, alors il une chose de trés claire, c'est que tu as les résultats des ports ouverts sur le FW depuis le réseau Green et non pas d'internet vers Red :wink:

Je pense déja aux questions, Et pourquoi alors ? puisque je met mon adresse publique ?
Parce que, ton test va prendre le chemin qui détien l'IP, et ici, c'est ton modem/router, donc il ne va pas aller faire un allé retour d'internet sur ton modem/routeur, puisque l'IP est déja sur de ton Firewall.

Par exemple, dans un réseau Green avec un navigateur, que tu tape l'IP d'administration, ou ton ip publique tu vera que tu arrivera à ton interface d'administration, mais pas depuis un poste distant depuis internet :wink:

En bref, ce sont des ports sur le routeur que tu vois depuis le Green, mais pas du coté Red.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar jdh » 29 Juil 2007 22:54

Très juste, micjack ! (je n'avais pas été attentif à Green).

Bien évidemment, s'il y a un nmap à faire c'est du côté Red, soit localement s'il y a un routeur (et en mettant un switch), soit à distance à partir d'un accès internet (non filtré).

Le port 53 est naturellement disponible à partir de Green mais j'ai du mal à comprendre les ports 5555 et 6666.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité