bloqueio automatico

**1c3m4n** · 22-01-2003, 11:13

Estou com o snort + guardian configurados em minha maquina, mas o guardian ta bloqueando coisas que num deve (como bancos e outras empresas) oq acontece eh o seguinte qdo a pagina (no caso do banco) vai enviar a resposta pro meu servidor ele está enviando em portas seguidas, ai o snort ve isso e acha q eh um portscan, entaum o guardian bloqueia o IP!!!
vejam os logs

01/22-09:55:41.944297 TCP src: 200.212.96.35 dst: 200.XXX.XXX.XXX sport: 80 dport: 50978 tgts: 1 ports: 21 flags: ***A**S* event_id: 0
01/22-09:55:42.227535 TCP src: 200.212.96.35 dst: 200.XXX.XXX.XXX sport: 80 dport: 50979 tgts: 1 ports: 22 flags: ***A**S* event_id: 1561
01/22-09:55:42.866255 TCP src: 200.212.96.35 dst: 200.XXX.XXX.XXX sport: 80 dport: 50970 tgts: 1 ports: 23 flags: ***A**** event_id: 1561
01/22-09:55:43.783500 TCP src: 200.212.96.35 dst: 200.XXX.XXX.XXX sport: 80 dport: 50981 tgts: 1 ports: 24 flags: ***A**S* event_id: 1561
01/22-09:55:43.812256 TCP src: 200.212.96.35 dst: 200.XXX.XXX.XXX sport: 80 dport: 50982 tgts: 1 ports: 25 flags: ***A**S* event_id: 1561

notem q a porta de origem eh a 80 e nesse caso realmente num eh um ataque mas sim o retorno de uma pagina http,
tem como parar isso??????????

slyz · 22-01-2003, 13:18

Rafael, dê uma lida no FAQ do Snort, vamos tentar encontrar algo.

Algumas que achei que podem lhe ajudar:
http://www.snort.org/docs/faq.html#3.10
http://www.snort.org/docs/faq.html#4.4
http://www.snort.org/docs/faq.html#4.5
http://www.snort.org/docs/faq.html#4.18

Qualquer avanço nos diga

))

**1c3m4n** · 22-01-2003, 13:43

cara valeu, mas acho que não eh esse o problema, ai ele fala de "assinaturas" e esses logs que passei não tem uma assinatura, eles nda mais sao do que tentar acessar varias portas em um tempo mto curto, deve ser alguma configuracao de ttl mas eu num consigo achar nda <IMG SRC="images/forum/icons/icon27.gif"> <IMG SRC="images/forum/icons/icon27.gif"> <IMG SRC="images/forum/icons/icon27.gif">

**mistymst** · 22-01-2003, 13:55

Bom eu nunca vi nada do tipo nem usei o guardian ainda... bom mas pelo que voce descreveu o problema pode ser no guardian ... nao tem algo que se referencie a isto na web do guardian ... ou algo como uma solução palhiativa ... um arquiv de conf no qual o guardian nao barre os ips contidos la dentro? nao sei algo do tipo ..

nao posso ajudar muito pois nao estou familizirado com o guardian+Snort

**1c3m4n** · 22-01-2003, 13:58

num tem nda no guardian...
nele soh da pra definir os hosts que serao ignorados... ele eh totalmente dependente do snort, se o snort achar q eh um portscan ele tb vai achar... entaum preciso dar umjeito no snort naum nele..
mas valeu

**1c3m4n** · 22-01-2003, 16:13

alguma ideia galera?

bloqueio automatico

Ferramentas de Tópicos