log snort_decoder

[dbomber]

Salut à tous, <BR> <BR>j'ai une petite question, en analysant les log de snort je trouve ceci : <BR> <BR><!-- BBCode Start --><B>(snort_decoder) WARNING: TCP Header length exceeds packet length!</B><!-- BBCode End --> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Je ne sais pas ce que cela signifie, si quelqu'un pouvait m'en dire plus. Je ne pense pas que ce soit bien grave (puisqu'il n'y pas de SID donné par snort), mais j'aimerais bien savoir. <BR> <BR>merci

[tomtom]

Je pense que ca vient du module PHAD de snort... <BR> <BR>Techniquement c'est un peu compliqué, mais grosso modo cet add-on teste le type de paquets et leur longueur courante, ainsi que la longueur de l'entête en fonction du type de paquets etc.. puis joue avec les probabilités pour savoir si ca peut provenir d'une attaque. <BR>Je pense que si tu n'as qu'une seule alarme de ce type il n'y a aucun souci à se faire, et si tu en as régulièrement ça peut encore provenir d'une config un peu particulière sur les routeurs de ton FAI par exemple. <BR> <BR>Une description très techniques et en anglais de PHAD : <BR><!-- BBCode auto-link start --><a href="http://www.cs.fit.edu/~mmahoney/paper3.pdf" target="_blank">http://www.cs.fit.edu/~mmahoney/paper3.pdf</a><!-- BBCode auto-link end --> <BR> <BR>Thomas

[dbomber]

merci tomtom pour l'info. <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>En fait non, ça m'arrive de temps en temps. Donc c'est pas bien grave, je m'en doutais un peu... <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif">

[hb]

j'ai croisé la meme log sur mon ipcop, c'est toujours rassurant de voir que l'on est pas le seul.
ton explication me va bien tomtom, merci
PS: moi aussi une seule fois isolée

[antago]

Euh moi je l'ai quasiment tous les jours cette alerte, faut-il que je m'inquite?