Logs Snort bizarres

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar bou_ba » 23 Sep 2003 13:53

Bonjour tous le monde , je me permet de poster pour la premiere fois sur ce forum car je n'ai pas trouvé de reponse à ma question sur les forums ( meme avec la fonction rechercher <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> ) <BR> <BR>Voila depuis ce midi j'ai des alertes snort speciales : <BR> <BR>Date: 09/23 12:47:16 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 12:47:25 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 12:47:25 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 12:48:33 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 12:48:33 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 12:48:33 <BR>Name: (spp_asn1) ASN.1 oversized item, possible overflow <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Date: 09/23 13:07:25 <BR>Name: (spp_asn1) ASN.1 Attack: Datum length > packet length <BR>Priority: n/a <BR>Type: n/a <BR>IP Info: xx.xx.xx.xx # ( IP red ) <BR>SID: 6742 <BR>Refs: 202.73.104.188 <BR> <BR>Les xx.xx.xx.xx replacent mon ip red <BR> <BR>on dirait que les transmissions sont initiés par le firewall lui meme ( ipcop v1.3alpha5 ) avec modif de iptable pour de plus repondre au ping et dropper les paquets emules . <BR> <BR>Si qq'un peut m'eclairer de ses lanternes paske la je voit pas ...... <BR>une simple attaque avec des paquets ip modifiés ??? <BR>un vers ou un trojan sur un de mes client du lan ( 4 Win XP ) ?? <BR>un disfonctionnement de mon firewall ?? <BR> <BR>IPcop bloque t'il tous ces paquets ou écris juste le log grâce snort ?? <BR> <BR>Merci pour vos reponses <BR> <BR>@@ ++ <BR> <BR>Bouba <BR>
Avatar de l’utilisateur
bou_ba
Matelot
Matelot
 
Messages: 3
Inscrit le: 03 Sep 2003 00:00
Localisation: Loir et Cher

Messagepar Athanase » 23 Sep 2003 14:23

Bon, après un petit tour sur Google (qui est notre ami à tous <IMG SRC="images/smiles/icon_biggrin.gif">), il semblerait que ce soit lié au prépocesseur ASN1 qui est expérimental et remonterait pas mal de faux positifs. <BR> <BR>Voilà un petit lien par exemple mais il y en a plein d'autres: <BR><!-- BBCode auto-link start --><a href="http://www.helpforums.co.uk/forum/viewtopic.php?t=5336" target="_blank">http://www.helpforums.co.uk/forum/viewtopic.php?t=5336</a><!-- BBCode auto-link end --> <BR> <BR>Vérifie ta version de snort pour voir si tu es sensible à ce problème. <BR> <BR>J'espère que ça t'aide.
Avatar de l’utilisateur
Athanase
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 28 Juin 2002 00:00

Messagepar bou_ba » 23 Sep 2003 19:26

Ok, merci pour l'info , j'ai effectivement la version 1.9.0 de snort ( la version d'origine avec ipcop v1.3alpha5 ... <BR> <BR>Donc d'aprés les info , ces log s'ffichent quand le firewall essaye de decoder un paquet snmp fragmenté !!! <BR> <BR>Désolé pour le post , je m'en retourne apprendre comment marche GOOGLE <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>@@ ++ <BR> <BR>Phi <BR>
Avatar de l’utilisateur
bou_ba
Matelot
Matelot
 
Messages: 3
Inscrit le: 03 Sep 2003 00:00
Localisation: Loir et Cher


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron