[résolut] Snort et un ordi qui "DOS"!

Des questions pour configurer votre réseau, Wifi, installer un serveur, sécuriser votre machine ?

Modérateur : Mods GNU/Linux

kop16
Messages : 36
Inscription : 13 juil. 2010 15:51

[résolut] Snort et un ordi qui "DOS"!

par kop16 »

Bonjour à toutes et à tous,

Je suis un utilisateur assez récent d'Ubuntu et hier je testais un peu tout ce qui est en lien avec la sécurité ... J'ai donc réussi, après bien des difficultés surtout au niveau des règles, à installer Snort. J'ai dû l'enlever assez vite car il consomme trop de ressources surtout au démarrage. Enfin pendant le peu de temps où il à été en activité dans son fichier alerte il à inscrit comme quoi mon ordi ferait des attaques DOS !! Je vous mets le document d'alerte, cela est-il vrai ? Et si oui que faut-il faire !?
[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
08/21-11:37:47.723298 212.27.40.240:53 -> 192.168.0.10:46298
UDP TTL:56 TOS:0x0 ID:0 IpLen:20 DgmLen:76 DF
Len: 48

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
08/21-11:37:58.902351 212.27.40.240:53 -> 192.168.0.10:39609
UDP TTL:56 TOS:0x0 ID:0 IpLen:20 DgmLen:76 DF
Len: 48

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-11:38:12.296621 192.168.0.10:39911 -> 62.210.65.204:80
TCP TTL:64 TOS:0x0 ID:15431 IpLen:20 DgmLen:40 DF
***A**** Seq: 0xED37B3CC Ack: 0xF2B6C0AF Win: 0xFFFF TcpLen: 20

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
08/21-11:49:06.272976 212.27.40.240:53 -> 192.168.0.10:59168
UDP TTL:56 TOS:0x0 ID:0 IpLen:20 DgmLen:94 DF
Len: 66

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
08/21-11:49:18.326443 212.27.40.240:53 -> 192.168.0.10:42092
UDP TTL:56 TOS:0x0 ID:0 IpLen:20 DgmLen:73 DF
Len: 45

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-11:52:15.705520 192.168.0.10:57308 -> 75.125.225.173:80
TCP TTL:64 TOS:0x0 ID:13026 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x4150D7A Ack: 0x299026C Win: 0xB75 TcpLen: 32
TCP Options (3) => NOP NOP TS: 382930 1328397457

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-11:52:19.165599 75.125.225.173:80 -> 192.168.0.10:57308
TCP TTL:47 TOS:0x0 ID:35201 IpLen:20 DgmLen:652 DF
***AP*** Seq: 0x2A4DBB4 Ack: 0x4150D7A Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 1328400838 383759

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:39:44.188568 192.168.0.10:57723 -> 91.194.60.2:80
TCP TTL:64 TOS:0x0 ID:13910 IpLen:20 DgmLen:60 DF
******S* Seq: 0x754783DD Ack: 0x0 Win: 0x16D0 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1095051 0 NOP WS: 5

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:41:41.902731 192.168.0.10:34963 -> 88.191.250.131:80
TCP TTL:64 TOS:0x0 ID:57231 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xE1B700F6 Ack: 0x459ED0A5 Win: 0x7D3 TcpLen: 32
TCP Options (3) => NOP NOP TS: 1124479 3151881862

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:41:42.516263 88.191.250.131:80 -> 192.168.0.10:34963
TCP TTL:56 TOS:0x0 ID:49890 IpLen:20 DgmLen:956 DF
***A**** Seq: 0x45A21C86 Ack: 0xE1B700F6 Win: 0x81 TcpLen: 32
TCP Options (3) => NOP NOP TS: 3151882478 1124620

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:46:22.445224 192.168.0.10:49956 -> 93.188.130.105:80
TCP TTL:64 TOS:0x0 ID:25822 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xE1F05E81 Ack: 0xCCBAB8B1 Win: 0x7D3 TcpLen: 32
TCP Options (3) => NOP NOP TS: 1194615 3069948359

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:51:32.580439 192.168.0.10:51361 -> 88.191.250.132:80
TCP TTL:64 TOS:0x0 ID:50629 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x85AA427 Ack: 0x43D0DF29 Win: 0x224B TcpLen: 32
TCP Options (3) => NOP NOP TS: 1272149 4058220586

[**] [1:254:4] DNS SPOOF query response with TTL of 1 min. and no authority [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
08/21-12:51:38.695289 212.27.40.240:53 -> 192.168.0.10:48682
UDP TTL:56 TOS:0x0 ID:0 IpLen:20 DgmLen:94 DF
Len: 66

[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
08/21-12:54:52.678071 192.168.0.10:52156 -> 91.121.135.192:80
TCP TTL:64 TOS:0x0 ID:30736 IpLen:20 DgmLen:80 DF
***A**** Seq: 0xC556631F Ack: 0xBF013840 Win: 0x779 TcpLen: 60
TCP Options (6) => NOP NOP TS: 1322173 553996579 NOP NOP Sack: [email protected]
En vous remerciant
Dernière modification par kop16 le 30 juil. 2011 12:50, modifié 1 fois.
Avatar de l’utilisateur
captnfab
Messages : 2292
Inscription : 31 mai 2008 22:03
Localisation : Aubenas (07), Montpellier (34)

Re: Snort et un ordi qui "DOS"!

par captnfab »

Yop Kop,

Tu faisais pas de la webcam ou de la téléphonie à ce moment là ? :)
Capitaine Fab (captnfab), Girafe à longues dents.
Liens utiles et nécessaires : Avant de poster, consultez les règles du forum || Débutants : la FAQ Linux
Entraide Debian : Documentation Debian-Facile || Forum DF || [url=irc://irc.freenode.net/debian-facile]Salon IRC : #debian-facile @ irc.freenode.net[/url]
kop16
Messages : 36
Inscription : 13 juil. 2010 15:51

Re: Snort et un ordi qui "DOS"!

par kop16 »

Salut Capitaine,
Non j'ai pas de webcam et j'utilisais pas mon téléphone. Pourquoi ca aurai changer quelque chose ?
Avatar de l’utilisateur
captnfab
Messages : 2292
Inscription : 31 mai 2008 22:03
Localisation : Aubenas (07), Montpellier (34)

Re: Snort et un ordi qui "DOS"!

par captnfab »

Eh bien, juste que le message dit que le flood en question c'est du SIP.

Mhh...

Tu peux me retourner la sortie de

Code : Tout sélectionner

sudo netstat -ltapuen
Cette commande liste les connections actives.
Capitaine Fab (captnfab), Girafe à longues dents.
Liens utiles et nécessaires : Avant de poster, consultez les règles du forum || Débutants : la FAQ Linux
Entraide Debian : Documentation Debian-Facile || Forum DF || [url=irc://irc.freenode.net/debian-facile]Salon IRC : #debian-facile @ irc.freenode.net[/url]
kop16
Messages : 36
Inscription : 13 juil. 2010 15:51

Re: Snort et un ordi qui "DOS"!

par kop16 »

Voilà j'ai fais la commande, ca donne comme résultat (dans le fichier joint)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
captnfab
Messages : 2292
Inscription : 31 mai 2008 22:03
Localisation : Aubenas (07), Montpellier (34)

Re: Snort et un ordi qui "DOS"!

par captnfab »

Bon, rien de suspect. dans la sortie de netstat.

À y regarder de plus près, les messages d'avertissement de snotr n'indiquaient que des connexions vers des sites Web ou du trafic DNS, donc pas de soucis a priori.
Capitaine Fab (captnfab), Girafe à longues dents.
Liens utiles et nécessaires : Avant de poster, consultez les règles du forum || Débutants : la FAQ Linux
Entraide Debian : Documentation Debian-Facile || Forum DF || [url=irc://irc.freenode.net/debian-facile]Salon IRC : #debian-facile @ irc.freenode.net[/url]
kop16
Messages : 36
Inscription : 13 juil. 2010 15:51

Re: Snort et un ordi qui "DOS"!

par kop16 »

ok merci beaucoup de ton aide capitaine, je préférais demander comme je m'y connais pas trop.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Réseau sous GNU/Linux »