LINUX.ORG.RU
решено ФорумSecurity

Вопросы по интерпретации отчетов snort

 , , ,


0

2

Используется: Debian 7.3 x64
snort Version 2.9.2.2 IPv6 GRE (Build 121)
ipkungfu-0.6.1

Исходная ситуация:
имеется компьютер под управлением debian. Он подключен к роутеру d-link, на d-link приходит кабель провайдера.

Полный список того, что было сделано:

были установлены snort и ipkungfu 

sudo aptitude install snort ipkungfu
snort был запущен: 
sudo snort -D
Больше snort никак не настраивался.

Для ipkungfu были сделаны такие настройки в /etc/ipkungfu/ipkungfu.conf
https://gist.github.com/anonymous/5b851e3cfe426283eb8e

В /etc/default/ipkungfu IPKFSTART был установлен в 1, чтобы ipkungfu стартовал вместе с системой. Больше для ipkungfu настройки не делались.

На утро получаю в /var/mail/user следующий отчет от snort:
https://gist.github.com/anonymous/f8e5145abc51b9244470

А так же множественные алерты в /var/log/snort/alert (за 12 часов более 3000 строк, поэтому привожу краткую выдержку типичных из них - множество ip-адресов, сообщения о bad traffic):
https://gist.github.com/anonymous/f3a490fa08dd3c8ff6fc

Ситуация в настоящий момент: иностранные ip из алертов пропали, повторяются алерты типа: 

[**] [1:402:7] ICMP Destination Unreachable Port Unreachable [**]
[Classification: Misc activity] [Priority: 3]
02/04-23:43:58.853713 192.168.0.45 -> 192.168.1.1
ICMP TTL:64 TOS:0xD0 ID:56292 IpLen:20 DgmLen:224
Type:3  Code:3  DESTINATION UNREACHABLE: PORT UNREACHABLE
** ORIGINAL DATAGRAM DUMP:
192.168.1.1:53 -> 192.168.0.45:50373
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:196 DF
Len: 168  Csum: 6942
(168 more bytes of original packet)
** END OF DUMP

а так же

[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/04-22:56:17.729402 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:128 TOS:0x0 ID:0 IpLen:20 DgmLen:332
Len: 304
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666]

Прочие симптомы:
- при попытке поиска в гугле выдается предупреждение о плохом траффике из моей сети.
- если зайти на адреса ip из алертов, то на могих панель входа в роутеры.
- при удалении ipkungfu алерты прекратились. Но потом ipkungfu был установлен, чтобы продолжить наблюдения, и все продолжилось.

Вопросы:
1. Как интерпретировать вышеприведенное содержимое /var/log/snort/alert?
2. Что за массовые иностранные ip в отчете от snort?
3. Как это может быть связано с ipkungfu и может ли?
4. Откуда идет bad traffic?
5. Какие меры вы бы предприняли в связи с этими алертами?

Deleted

Последнее исправление: Deleted (всего исправлений: 2)

Настрой все ipvar в конфиге snort и посмотри, что изменится.

macumazan ★★
()

Первый - icmp на недоступность порта на клиенте при ответе dns-серввера. Выглядит немного странно, но если это единичные случай, то пофиг.

02/04-22:56:17.729402 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:128 TOS:0x0 ID:0 IpLen:20 DgmLen:332
Len: 304

Гм. dhcp discover как бад-трафик ? IMHO у кого-то паранойя

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security