analyse des reports de snort sur Mdk SNF [firewall] - Codes et scripts - Linux et OS Alternatifs
Marsh Posté le 13-07-2002 à 10:24:37
matthias a écrit a écrit : bonjour j'ai recemment installé la Mdk SNF sur ma passerelle ADSL, j'ai activé SNORT par curiosité hier soir et ce matin dans la liste des attaques je retrouve 2 scans massifs, bon rien d'etonnant jusque la ce qui me surprend bcp plus c'est que d'apres SNORT l'Ip ayant declenche le scan est mon IP (celle fournit par mon FAI) et les destinataires possedent des ranges de reseau tres varié : voila les questions que je me pose : - est ce que mon PC scan des ordos sur le net à mon insu ? - est ce que je ne sais pas lire les resultats de snort ? merci |
Ca peut être des "restes" de connexion ... qd ton FAI t'attribue ton adresse IP au moment ou tu montes ton lien ADSL avec ppp, il y a des (bonnes) chances que l'adresse qu'il te donne était attribuée peu de temps auparavant à un abonné qui s'est déconnecté ... et là tu hérites des paquets qui lui étaient pas encore arrivés à destination ... Par contre pour l'histoire du scan venant de ta propre IP ca m'intrigue ... a moins que tu n'utilises sans le savoir un scanner de ports ... je compte installer SNORT dans les jours qui viennent .... je te donnerais mes premières impressions pour qu'on puisse comparer ...
Marsh Posté le 13-07-2002 à 10:29:28
salut
Zzozo a écrit a écrit : l'adresse qu'il te donne était attribuée peu de temps auparavant à un abonné qui s'est déconnecté |
pour le reliquat des connecions je ne penses pas car mon adresse IP est fixe (je suis che nerim), sinon pour infos tous les ports de departs de ces scan sont > 61000 (bizarre..)
Marsh Posté le 13-07-2002 à 10:33:10
matthias a écrit a écrit : salut pour le reliquat des connecions je ne penses pas car mon adresse IP est fixe (je suis che nerim), sinon pour infos tous les ports de departs de ces scan sont > 61000 (bizarre..) |
Sourire ... ca me dit qqchose ... je regarderai ... t'as quoi derière le fw ?
EDIT : En effet, oublies pour les reliquats si t'as une adresse fixe ...
Marsh Posté le 13-07-2002 à 10:36:01
Zzozo a écrit a écrit : Sourire ... ca me dit qqchose ... je regarderai ... t'as quoi derière le fw ? |
un singe dont on ne peut pas parler ici + un autre bien connu du meme genre (je me suis effectivement demandé si cela pouvait etre cela )
Marsh Posté le 13-07-2002 à 10:17:43
bonjour
j'ai recemment installé la Mdk SNF sur ma passerelle ADSL, j'ai activé SNORT par curiosité hier soir et ce matin dans la liste des attaques je retrouve 2 scans massifs, bon rien d'etonnant jusque la ce qui me surprend bcp plus c'est que d'apres SNORT l'Ip ayant declenche le scan est mon IP (celle fournit par mon FAI) et les destinataires possedent des ranges de reseau tres varié : voila les questions que je me pose :
- est ce que mon PC scan des ordos sur le net à mon insu ?
- est ce que je ne sais pas lire les resultats de snort ?
merci