logs snort

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar ImoThep » 05 Nov 2003 20:13

Bonjour, <BR> <BR>je suis newbie sur IPCop, mais j'ai reussi l'install (1.3.0) et la configuration grace aux post sur ce forum. <BR>merci pour vos explications ! <BR> <BR>mon pb: j'ai un log sous snort que je ne comprend pas et apres les recherches, je vous met a contribution <IMG SRC="images/smiles/icon_wink.gif"> : <BR> <BR>Date: 11/05 17:20:18 Nom: (snort_decoder): Truncated Tcp Options <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 193.xxx.xxx.xxx:0 -> 213.xxx.xxx.xxx:0 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR> <BR>j'en ai recu plus de 10 en 2 minutes et ca m'inquiete un peu <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>vous savez cz que c'est ? <BR>merci pour vos idées... <BR> <BR> <BR> <BR>-En bonus <IMG SRC="images/smiles/icon_wink.gif"> : je cherche a savoir quelle version de snort est installée sur IPCop et comment mettre a jours sa base de signature <IMG SRC="images/smiles/icon_smile.gif">
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar Breizh-Tux » 05 Nov 2003 20:41

Sazlut je n'ai pas écumé le net mais j'ai trouvé qq trucs interessant <!-- BBCode u2 Start --><A HREF="http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%22Truncated+Tcp+Options%22&btnG=Recherche+Google&meta=lr%3Dlang_fr" TARGET="_blank">ici</A><!-- BBCode u2 End --> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> According to the snort alerts, it appears that Snort does reconize TCP option <BR>26 but generates an alert because the packet is shorter than it should be. It <BR>appears that tcpdump does not even reconize TCP option 26 as a valid option. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>C'est peut-être un début de piste ... des paquets compressés que snort à du mal à identifier car il ne font pas la taille qu'il devrait même si l'option TCP 26 est elle bien reconnue ... <BR> <BR>à méditer. <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>YannicK
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad

Messagepar ImoThep » 05 Nov 2003 21:02

je medite, je medite... Breizh-Tux <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>J'avais deja lu cet article mais je voulais avoir une explication un peu plus poussé: je suis loin d'etre un spécialiste et je suis pas sur d'avoir tout compris. <BR> <BR>si le cheksum n'est po bon c que le paquet a été modifié, nan ? <BR>et comme il s'est po modifié tout seul c que c'est une attaque. Mais est elle bloqué par le firewall ? <BR> <BR>
Avatar de l’utilisateur
ImoThep
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 142
Inscrit le: 02 Nov 2003 01:00

Messagepar Breizh-Tux » 05 Nov 2003 21:13

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> TCP Option 26, TCP Compression Filter, is a proposed modification to TCP from <BR>AT&T to install compression in a virtual layer between TCP and the application <BR>layer. At the time of this writing, TCP compression filter is not documented in <BR>an RFC. AT&T does have an Internet Draft publically available </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> si je comprends bien , ce projet de compression tcp dont AT&T est l'instigateur, servirait à installer une compression dans une couche virtuelle entre tcp et la couche applicative ... <BR> <BR>ais-je été clair, je n'en suis pas si sur ... Je ne connaissait pas ce type d'option tcp avant de voir ton post, mais si j'ai bien tout lu freud, ce n'est pas forcément du à une manip extérieur, cela pourrait provenir d'un téléchargement à partir d'un site qui utilise cette option ... Pas de piratage en vu ... Mais on est jamais trop paranoaïaque quand on discute de sécurirté ... <BR> <BR>Je continu mes investigations à ce sujet, merci de ton post ... <BR> <BR>TJRS à méditer ... <BR> <BR>YannicK <IMG SRC="images/smiles/icon_smile.gif">
In God we Trust -- all others must submit an X.509 certificate.
(Charles Forsythe)
Breizh-Tux
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 305
Inscrit le: 23 Fév 2003 01:00
Localisation: BZH , Degemer Mad


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité