Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Dougld
    [**] (snort_decoder): Truncated Tcp Options [**]
    01/22/04-13:28:08.385596 200.255.228.65:80 -> 200.xxx.xxx.xx:19125
    TCP TTL:50 TOS:0x0 ID:675 IpLen:20 DgmLen:52 DF
    ***A**** Seq: 0x2F615534 Ack: 0xCB82855B Win: 0x6028 TcpLen: 32

    olá tudo bom?

    Por favor , alguém poderia me dizer o q significa este alert do snort

    Eu procurei na net e não encontrei nada sobre

    Qualquer informação eu agradeço

    valeu

    dougld

  2. #2
    meiolouco
    Dougld,
    Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
    iptables -P INPUT DROP
    ele estará dropando inclusive pacotes para o lo.
    Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
    Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
    o Type of Service é de 0x0 que é de NORMAL-SERVICE.
    Então, acredito que este seja o problema.
    Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!

    []´s
    Rodrigo



  3. #3
    Dougld
    Citação Postado originalmente por meiolouco
    Dougld,
    Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
    iptables -P INPUT DROP
    ele estará dropando inclusive pacotes para o lo.
    Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
    Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
    o Type of Service é de 0x0 que é de NORMAL-SERVICE.
    Então, acredito que este seja o problema.
    Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!

    []´s
    Rodrigo
    fala meiolouco , blz eu utilizo sim o iptables e lá tem as regras para aceitar do loopback e negar o restante se liga ai

    #INTERFACE DE LOOPBACK
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

    #BLOQUEIA O RESTANTE
    iptables -A INPUT -p tcp --syn -j DROP

    eu vou dar mais uma olhada no log e se ver algo de diferente eu posto valeu

    Dougld

  4. #4
    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s



  5. #5
    Dougld
    Citação Postado originalmente por Anonymous
    Legal Doug...
    Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
    iptables -A INPUT -s 127.0.0.1 -j ACCEPT

    Já na regra:
    iptables -A INPUT -p tcp --syn -j DROP
    repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
    Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
    iptables -P INPUT DROP
    o -P serve para indicar uma regra padrão
    e o DROP não precisa de -j pq se trata de regra estática.

    espero ter exclarecido
    qualquer dúvida estamos aí...
    []´s
    fala meiolouco blz

    realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote

    agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!

    sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok

    valeu , qualquer dúvida eu posto aki






Tópicos Similares

  1. Dúvida TCP eu acho
    Por lrezende no fórum Servidores de Rede
    Respostas: 6
    Último Post: 29-01-2003, 08:39
  2. tcp e udp
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 17-01-2003, 23:13
  3. NFS over TCP
    Por Cyberfred no fórum Servidores de Rede
    Respostas: 0
    Último Post: 15-01-2003, 18:16
  4. Unificação de Redes TCP/IP
    Por Hawthorn no fórum Servidores de Rede
    Respostas: 6
    Último Post: 23-12-2002, 17:58
  5. sockets options
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 07-11-2002, 13:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L