Snort détecte les PING???

[jubec]

Bonjour à tous,

J'aimerais juste savoir si de base Snort détecte les pings...

Je m'explik : J'ai installé Snort sur une machine de mon réseau local(non relié au net). Quand je lançais Snort et qu'avec une autre machine je la pinguais, l'IDS détectait le PING.
Maintenant j'ai installé Snort sur une machine reliée au net (donc je le lance sur ppp0) et quand je la ping l'IDS ne détecte rien alors que j'ai fait une vulgaire copie du fichier de conf.

D'ou ça vient???

[nemesis]

tu la ping depuis ou?

[jubec]

Je le ping depuis un station de travail relié à internet par un proxy

[jubec]

tu la ping depuis ou?

C'est très bizarre car la j'ai fais un essai depuis un poste relié directement au net et tjs le meme résultat alors que je ping son ip publique et que Snort est lancé sur ppp0

SNORT----------Net(direct)------------Ping (echo request)

Une pitie idée???

[Franck78]

A mon avis c'est le "vulgaire" qui a froissé SNORT.
Regarde bien dans son fichier de conf si les variables correspondent bien à la réalité.


###################################################
# Step #1: Set the network variables:

[jubec]

A mon avis c'est le "vulgaire" qui a froissé SNORT.
Regarde bien dans son fichier de conf si les variables correspondent bien à la réalité.

Le vulgaire???
En tt cas j'ai vérifié Snort.conf et tout est ok. Je vois pas comment les variables peuvent empecher la détection du ping???

[antolien]

à mon avis c'est plutôt dans les fichiers de conf de snort que la ligne doit être désactivée ...

regardes dans /etc/snort/icmp.rules

[jubec]

à mon avis c'est plutôt dans les fichiers de conf de snort que la ligne doit être désactivée ...

regardes dans /etc/snort/icmp.rules

Non non j'ai décommenté toutes les règles. Je suis dans une conf de base...

[Franck78]

Et tu es sur que les ping arrivent bien jusqu'a ta machine snort of course. Oui ou non ?

[jubec]

Et tu es sur que les ping arrivent bien jusqu'a ta machine snort of course. Oui ou non ?

Oui oui sans problème, le ping passe nickel

Je ping l'adresse publique 193.253.252.77

[nemesis]

hummm bizarre t'es sûr qu'elle est publique ton adresse je te 'ping' pas mdr

@++

Nem.

[jubec]

hummm bizarre t'es sûr qu'elle est publique ton adresse je te 'ping' pas mdr

@++

Nem.

Normalement la tu peu me pinguer à l'adresse : 80.15.150.97

Essaye et dis moi pke c'est très étrange !!!

Merci d'avance

[Noxy]

Slt,

Moi en tout cas j'arrive à te pinger! Voila le résultat si ça t'intéresse :

Envoi d'une requête 'ping' sur 80.15.150.97 avec 32 octets de données :

Réponse de 80.15.150.97 : octets=32 temps=126 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=129 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=126 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=173 ms TTL=56

Statistiques Ping pour 80.15.150.97:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 126ms, Maximum = 173ms, Moyenne = 138ms

[jubec]

Slt,

Moi en tout cas j'arrive à te pinger! Voila le résultat si ça t'intéresse :

Envoi d'une requête 'ping' sur 80.15.150.97 avec 32 octets de données :

Réponse de 80.15.150.97 : octets=32 temps=126 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=129 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=126 ms TTL=56
Réponse de 80.15.150.97 : octets=32 temps=173 ms TTL=56

Statistiques Ping pour 80.15.150.97:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 126ms, Maximum = 173ms, Moyenne = 138ms

Bon ben merci bien c super sympa

Maintenant mon prob c que SNort ne détecte pas le ping alors qu'en local il le faisait...

Mais la je sais pas si tu va pouvoir me répondre...

[Noxy]

Tu dis que tu as fait une vulgaire copie du fichier de conf, c'est peut-être là qu'est le problème!
Il doit sûrement y avoir des variables à ajuster