logs snort

[ImoThep]

Bonjour, <BR> <BR>je suis newbie sur IPCop, mais j'ai reussi l'install (1.3.0) et la configuration grace aux post sur ce forum. <BR>merci pour vos explications ! <BR> <BR>mon pb: j'ai un log sous snort que je ne comprend pas et apres les recherches, je vous met a contribution <IMG SRC="images/smiles/icon_wink.gif"> : <BR> <BR>Date: 11/05 17:20:18 Nom: (snort_decoder): Truncated Tcp Options <BR>Priorité: n/a Type: n/a <BR>Informations sur l'adresse IP: 193.xxx.xxx.xxx:0 -> 213.xxx.xxx.xxx:0 <BR>Références: aucune entrée trouvée SID: n/a <BR> <BR> <BR>j'en ai recu plus de 10 en 2 minutes et ca m'inquiete un peu <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>vous savez cz que c'est ? <BR>merci pour vos idées... <BR> <BR> <BR> <BR>-En bonus <IMG SRC="images/smiles/icon_wink.gif"> : je cherche a savoir quelle version de snort est installée sur IPCop et comment mettre a jours sa base de signature <IMG SRC="images/smiles/icon_smile.gif">

[Breizh-Tux]

Sazlut je n'ai pas écumé le net mais j'ai trouvé qq trucs interessant <!-- BBCode u2 Start --><A HREF="http://www.google.fr/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%22Truncated+Tcp+Options%22&btnG=Recherche+Google&meta=lr%3Dlang_fr" TARGET="_blank">ici</A><!-- BBCode u2 End --> <BR> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> According to the snort alerts, it appears that Snort does reconize TCP option <BR>26 but generates an alert because the packet is shorter than it should be. It <BR>appears that tcpdump does not even reconize TCP option 26 as a valid option. </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>C'est peut-être un début de piste ... des paquets compressés que snort à du mal à identifier car il ne font pas la taille qu'il devrait même si l'option TCP 26 est elle bien reconnue ... <BR> <BR>à méditer. <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>YannicK

[ImoThep]

je medite, je medite... Breizh-Tux <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>J'avais deja lu cet article mais je voulais avoir une explication un peu plus poussé: je suis loin d'etre un spécialiste et je suis pas sur d'avoir tout compris. <BR> <BR>si le cheksum n'est po bon c que le paquet a été modifié, nan ? <BR>et comme il s'est po modifié tout seul c que c'est une attaque. Mais est elle bloqué par le firewall ? <BR> <BR>

[Breizh-Tux]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> TCP Option 26, TCP Compression Filter, is a proposed modification to TCP from <BR>AT&T to install compression in a virtual layer between TCP and the application <BR>layer. At the time of this writing, TCP compression filter is not documented in <BR>an RFC. AT&T does have an Internet Draft publically available </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> si je comprends bien , ce projet de compression tcp dont AT&T est l'instigateur, servirait à installer une compression dans une couche virtuelle entre tcp et la couche applicative ... <BR> <BR>ais-je été clair, je n'en suis pas si sur ... Je ne connaissait pas ce type d'option tcp avant de voir ton post, mais si j'ai bien tout lu freud, ce n'est pas forcément du à une manip extérieur, cela pourrait provenir d'un téléchargement à partir d'un site qui utilise cette option ... Pas de piratage en vu ... Mais on est jamais trop paranoaïaque quand on discute de sécurirté ... <BR> <BR>Je continu mes investigations à ce sujet, merci de ton post ... <BR> <BR>TJRS à méditer ... <BR> <BR>YannicK <IMG SRC="images/smiles/icon_smile.gif">