simrem Skrevet 21. mai 2007 Del Skrevet 21. mai 2007 Hei. Jeg har ett nettverk med 50 brukere. Jeg bruker en brannmur med Clarkconnect med mellom annet snort. Jeg har 2 nettverks interface, LAN og WAN. I secure loggen min får jeg hver 5. minutt denne besjeden: May 21 21:15:49 gateway snort[1879]: [122:3:0] (portscan) TCP Portsweep {PROTO255} WAN_IP -> RANDOM_IP der WAN_IP er ip på wan siden av brannmuren og RANDOM_IP er en tilfeldig ip på internettet. Jeg vil gjerne vite ip'en på den dataen på lokalnettverket som sender dette, men jeg sliter med å finne den. Jeg prøver å bruke tcpdump på lan interfacet og sender alt til en fil, og kjører den i ca 5 minutt. Da har det dukket samtidig opp en slik protscan besjed i secureloggen. Visst jeg prøver å søke på samme tidspunkt og random_ip (eller reverse nslookup) i ouputfila til tcpdump, finner jeg ingen likskaper. Noen som kan gi med noen gode råd? Er ikke dette mest sansynligvis virus på en klient? Lenke til kommentar
tyldum Skrevet 21. mai 2007 Del Skrevet 21. mai 2007 Portsweep er i denne sammenhengen en alarm som trigger dersom det er mange forbindelser mot samme port på ulike IP-adresser. Når man driver med portsweep vet man gjerne om en sårbarhet i en spesifikk tjeneste som man prøver å utnytte (f.eks i IIS og scanner derfor kun port 80 på en menge adresser). Men siden snort her har trigget på WAN-IP mistenker jeg en falsk positiv, men jeg kjenner ikke din Snort-config. Lenke til kommentar
simrem Skrevet 21. mai 2007 Forfatter Del Skrevet 21. mai 2007 Portsweep er i denne sammenhengen en alarm som trigger dersom det er mange forbindelser mot samme port på ulike IP-adresser.Når man driver med portsweep vet man gjerne om en sårbarhet i en spesifikk tjeneste som man prøver å utnytte (f.eks i IIS og scanner derfor kun port 80 på en menge adresser). Men siden snort her har trigget på WAN-IP mistenker jeg en falsk positiv, men jeg kjenner ikke din Snort-config. 8667244[/snapback] Åja, da er det vell ikke så farlig. Merkelig at ingen har forspørsler til adressene da? Mer her er også TCP Portscan advarsler og ikke portsweep, men de er ikke så hyppige. Grunnen for jeg spør er hovedsaklig for at brannmuren mister kontakten med nettet. Lenke til kommentar
tyldum Skrevet 22. mai 2007 Del Skrevet 22. mai 2007 Hmm.. Da har du 2 symptomer som går i retning av at du har IP-konflikt. Hvordan er WAN-IP tildelt? Eventuelt at du gjør noe feil når du sjekker tcpdump... Går Portscan-alarmene også på WAN->tilfeldig IP, eller går de innover i nettet? Det er en del tjenester som sjekker om du har åpen proxy o.l som kan trigge en slik alarm i Snort. Om du føler deg komfortabel med det kan jeg godt se på en pakkestrøm mens en alarm trigges for å se om jeg kan finne ut noe. Lenke til kommentar
simrem Skrevet 23. mai 2007 Forfatter Del Skrevet 23. mai 2007 Hmm.. Da har du 2 symptomer som går i retning av at du har IP-konflikt. Hvordan er WAN-IP tildelt? Eventuelt at du gjør noe feil når du sjekker tcpdump... Går Portscan-alarmene også på WAN->tilfeldig IP, eller går de innover i nettet? Det er en del tjenester som sjekker om du har åpen proxy o.l som kan trigge en slik alarm i Snort. Om du føler deg komfortabel med det kan jeg godt se på en pakkestrøm mens en alarm trigges for å se om jeg kan finne ut noe. 8669580[/snapback] Hei igjen, beklager sen tilbakemelding. Har hatt eksamen idag har derfor vært litt opptatt. WAN-IPen min er statisk og jeg har konfigurert inn nettverkskortet med WAN-ip, rett nettverksmaske og gateway. Modemet er "fullbridget" fra ISP. Portscan alarmene går bare utover. Har kjørt en shieldsUP test på nettet, og alle portene har stealth-status. Jeg prøvde å sende deg en PM med loggfilene, men det gikk ikke. En rar-fil på 4-500 kB. Kan du sende meg eposten din på pm, så skal jeg sende deg loggen Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå