[firewall] analyse des reports de snort sur Mdk SNF

analyse des reports de snort sur Mdk SNF [firewall] - Codes et scripts - Linux et OS Alternatifs

Marsh Posté le 13-07-2002 à 10:17:43    

bonjour
 
j'ai recemment installé la Mdk SNF sur ma passerelle ADSL, j'ai activé SNORT par curiosité hier soir et ce matin dans la liste des attaques je retrouve 2 scans massifs, bon rien d'etonnant jusque la ce qui me surprend bcp plus c'est que d'apres SNORT l'Ip ayant declenche le scan est mon IP (celle  fournit par mon FAI) et les destinataires possedent des ranges de reseau tres varié : voila les questions que je me pose :
 
- est ce que mon PC scan des ordos sur le net à mon insu ?
- est ce que je ne sais pas lire les resultats de snort ?
 
merci

Reply

Marsh Posté le 13-07-2002 à 10:17:43   

Reply

Marsh Posté le 13-07-2002 à 10:24:37    

matthias a écrit a écrit :

bonjour
 
j'ai recemment installé la Mdk SNF sur ma passerelle ADSL, j'ai activé SNORT par curiosité hier soir et ce matin dans la liste des attaques je retrouve 2 scans massifs, bon rien d'etonnant jusque la ce qui me surprend bcp plus c'est que d'apres SNORT l'Ip ayant declenche le scan est mon IP (celle  fournit par mon FAI) et les destinataires possedent des ranges de reseau tres varié : voila les questions que je me pose :
 
- est ce que mon PC scan des ordos sur le net à mon insu ?
- est ce que je ne sais pas lire les resultats de snort ?
 
merci




Ca peut être des "restes" de connexion ... qd ton FAI t'attribue ton adresse IP au moment ou tu montes ton lien ADSL avec ppp, il y a des (bonnes) chances que l'adresse qu'il te donne était attribuée peu de temps auparavant à un abonné qui s'est déconnecté ... et là tu hérites des paquets qui lui étaient pas encore arrivés à destination ... Par contre pour l'histoire du scan venant de ta propre IP ca m'intrigue ... a moins que tu n'utilises sans le savoir un scanner de ports ... je compte installer SNORT dans les jours qui viennent .... je te donnerais mes premières impressions pour qu'on puisse comparer ...


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 13-07-2002 à 10:29:28    


salut
 

Zzozo a écrit a écrit :

 
l'adresse qu'il te donne était attribuée peu de temps auparavant à un abonné qui s'est déconnecté  




 
pour le reliquat des connecions je ne penses pas car mon adresse IP est fixe (je suis che nerim), sinon pour infos tous les ports de departs de ces scan sont > 61000 (bizarre..)

Reply

Marsh Posté le 13-07-2002 à 10:33:10    

matthias a écrit a écrit :

 
salut
 
 
 
pour le reliquat des connecions je ne penses pas car mon adresse IP est fixe (je suis che nerim), sinon pour infos tous les ports de departs de ces scan sont > 61000 (bizarre..)




Sourire ... ca me dit qqchose ... je regarderai ... t'as quoi derière le fw ?
 
EDIT : En effet, oublies pour les reliquats si t'as une adresse fixe ...


Message édité par Zzozo le 13-07-2002 à 10:33:59

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 13-07-2002 à 10:36:01    

Zzozo a écrit a écrit :

 
Sourire ... ca me dit qqchose ... je regarderai ... t'as quoi derière le fw ?




 
un singe dont on ne peut pas parler ici + un autre bien connu du meme genre (je me suis effectivement demandé si cela pouvait etre cela )

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed