[**] (snort_decoder): Truncated Tcp Options [**]
01/22/04-13:28:08.385596 200.255.228.65:80 -> 200.xxx.xxx.xx:19125
TCP TTL:50 TOS:0x0 ID:675 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x2F615534 Ack: 0xCB82855B Win: 0x6028 TcpLen: 32
olá tudo bom?
Por favor , alguém poderia me dizer o q significa este alert do snort
Eu procurei na net e não encontrei nada sobre
Qualquer informação eu agradeço
valeu
dougld
-
16-03-2004, 10:03 #1DougldVisitante
(snort_decoder) : Truncated Tcp Options
-
01-04-2004, 20:31 #2meioloucoVisitante (snort_decoder) : Truncated Tcp Options
Dougld,
Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
iptables -P INPUT DROP
ele estará dropando inclusive pacotes para o lo.
Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
o Type of Service é de 0x0 que é de NORMAL-SERVICE.
Então, acredito que este seja o problema.
Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!
[]´s
Rodrigo
-
03-04-2004, 11:58 #3DougldVisitante ALERTA SNORT
fala meiolouco , blz eu utilizo sim o iptables e lá tem as regras para aceitar do loopback e negar o restante se liga ai
Postado originalmente por meiolouco
#INTERFACE DE LOOPBACK
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
#BLOQUEIA O RESTANTE
iptables -A INPUT -p tcp --syn -j DROP
eu vou dar mais uma olhada no log e se ver algo de diferente eu posto valeu
Dougld
-
03-04-2004, 19:55 #4Visitante (snort_decoder) : Truncated Tcp Options
Legal Doug...
Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
Já na regra:
iptables -A INPUT -p tcp --syn -j DROP
repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
iptables -P INPUT DROP
o -P serve para indicar uma regra padrão
e o DROP não precisa de -j pq se trata de regra estática.
espero ter exclarecido
qualquer dúvida estamos aí...
[]´s
-
06-04-2004, 10:10 #5DougldVisitante (snort_decoder) : Truncated Tcp Options
fala meiolouco blz Postado originalmente por Anonymous
realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote
agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!
sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok
valeu , qualquer dúvida eu posto aki
-
06-04-2004, 10:27 #6DougldVisitante (snort_decoder) : Truncated Tcp Options
cara não ta passando não olha só Postado originalmente por Dougld
fala meiolouco blz Postado originalmente por Anonymous
realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote
agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!
sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok
valeu , qualquer dúvida eu posto aki
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
-
07-04-2004, 16:03 #7meioloucoVisitante (snort_decoder) : Truncated Tcp Options
Fala aí Doug.
Quanto a essa regra:
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
ela vai dropar todos os pacotes de syncronismo e de aceite (ack) e por estar numa chain FORWARD, vc provavelmente não acessará a internet e nem pingará o host.
Ao invés de barrar ou liberar as flags, (o controle por flag pode levar a perda de pacote), nega tudo e depois autorize apenas os serviços necessários.
Assim seu arquivo fica pequeno e com poucas regras para serem administradas.
Se vc quiser posso te mandar meu arquivo rc.firewall que fiz, aparentemente minha situação é bem próxima da realidade que vc encontra aí.
[]´s
½louco
-
08-04-2004, 09:12 #8DougldVisitante fala ai veio
pode mandar veio, será bem vindo!!!! Postado originalmente por meiolouco
vc utiliza que distribuição?
cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:
iptables -F
iptables -t nat -F
modprobe ip_tables
modprobe iptable_nat
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -m unclean -j DROP
# ACESSO AO SSH
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
# NEGANDO ACESSO EXTERNO AO SAMBA
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 901 -j DROP
# BLOQUEIO ICQ
iptables -A FORWARD -p TCP --dport 5190 -j DROP
iptables -A FORWARD -d login.icq.com -j DROP
# BLOQUEIO MSN
iptables -A FORWARD -p TCP --dport 1863 -j DROP
# SQUID
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP
# SERVIDOR APACHE
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
# BLOQUEANDO OUTRAS PORTAS
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --dport 749 -j DROP
iptables -A INPUT -p udp --dport 1900 -j DROP
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# RESPONDER E NEGAR A PINGS
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
#iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j DROP
# PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# REDIRECIONAMENTO DE PORTA DA CONEXÃO
iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j DROP
#INTERFACE DE LOOPBACK
iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Rede local e EXTERNO
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#BLOQUEIA O RESTANTE
iptables -A INPUT -p tcp --syn -j DROP
falou meio...
até mais
-
13-04-2004, 00:12 #9meioloucoVisitante (snort_decoder) : Truncated Tcp Options
Segue meu rc.firewall, atualmente estou usando um Slackware!
Eu usava o Coyote num pentium 100 que eu tenho em casa, mas eu acabei desenvolvendo um halted firewall que funciona bem melhor e ele ainda gera logs de conexão.
[]´s
Meio louco
#Script Ninja para Firewall
if [ "$1" = "flush" ]; then
echo " Flushing Firewall... Wait a second! "
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.2 -j ACCEPT
echo " Flushing DOne! "
else
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#REGRA PARA COMPARTILHAMENTO DA INTERNEVERS
echo " Chamando o firewall "
iptables -t nat -A POSTROUTING -s 0/0 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT
#ACEITA OS SERVICOS DESIGNADOS
#SERVICOS DE SERVIDOR : FTP, SSH, HTTPD ,HTTPS SAMBA
iptables -A INPUT -p tcp --dport 20 -i eth0 -j ACCEPT # FTP services
iptables -A INPUT -p tcp --dport 21 -i eth0 -j ACCEPT # FTP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT # SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #HTTP
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS
iptables -A INPUT -i eth0 -p udp --dport 139 -j ACCEPT #SAMBA
iptables -A INPUT -i eth0 -p udp --dport 138 -j ACCEPT #SAMBA
iptables -A INPUT -i eth0 -p udp --dport 137 -j ACCEPT #SAMBA
iptables -A INPUT -i eth0 -p tcp --dport 137 -j ACCEPT #SAMBA
iptables -A INPUT -i eth0 -p tcp --dport 138 -j ACCEPT #SAMBA
iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT #SAMBA
# ACEITA OS SERVICOS DESIGNADOS:
# SERVICOS DE CLIENTE
iptables -A FORWARD -i eth0 -p tcp --dport 20 -j ACCEPT # FTP services
iptables -A FORWARD -i eth0 -p tcp --dport 21 -j ACCEPT # FTP
iptables -A FORWARD -i eth0 -p tcp --dport 25 -j ACCEPT # ICMP
iptables -A FORWARD -i eth0 -p tcp --dport 110 -j ACCEPT # ICMP
iptables -A FORWARD -i eth0 -p tcp --dport 53 -j ACCEPT # CORREIO
iptables -A FORWARD -i eth0 -p tcp --dport 80 -j ACCEPT # INTERNET
iptables -A FORWARD -i eth0 -p tcp --dport 443 -j ACCEPT # HTTPS
# Regras de Proteção
iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/8 -j DROP
iptables -t nat -A PREROUTING -i eth1 -s 172.16.0.0/16 -j DROP
iptables -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -j DROP
# Fazendo Log
iptables -A INPUT -p tcp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote tcp:"
iptables -A INPUT -p icmp -i eth1 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
iptables -A INPUT -p icmp -i eth0 -j LOG --log-level DEBUG --log-prefix "Pacote icmp:"
# leitura de pacotes
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo " Firewall chamado!!! "
fi
-
19-04-2004, 18:23 #10DougldVisitante firewall simples porém legal
Postado originalmente por meiolouco
-
07-05-2004, 20:58 #11Visitante Re: fala ai veio
Postado originalmente por Dougld
pode mandar veio, será bem vindo!!!! Postado originalmente por meiolouco
vc utiliza que distribuição?
cara outra coisa q ia te perguntar vc já mexeu com o coyote o firewall dele e redirecionamento , irei passar o meu aki:
iptables -F
iptables -t nat -F
modprobe ip_tables
modprobe iptable_nat
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -m unclean -j DROP
# ACESSO AO SSH
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
# NEGANDO ACESSO EXTERNO AO SAMBA
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 139 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 138 -j ACCEPT
iptables -A INPUT -p udp --source 192.168.1.0/255.255.255.0 --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 901 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 901 -j DROP
# BLOQUEIO ICQ
iptables -A FORWARD -p TCP --dport 5190 -j DROP
iptables -A FORWARD -d login.icq.com -j DROP
# BLOQUEIO MSN
iptables -A FORWARD -p TCP --dport 1863 -j DROP
# SQUID
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.2.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.3.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.4.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.5.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.6.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 192.168.7.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --source 10.0.0.0/255.255.255.0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -j DROP
# SERVIDOR APACHE
iptables -A INPUT -p tcp --source 192.168.1.0/255.255.255.0 --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
# BLOQUEANDO OUTRAS PORTAS
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A INPUT -p udp --dport 137 -j DROP
iptables -A INPUT -p udp --dport 749 -j DROP
iptables -A INPUT -p udp --dport 1900 -j DROP
#PROTEÇÃO CONTRA HACKERS
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
# RESPONDER E NEGAR A PINGS
iptables -A INPUT -s 192.168.1.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.3.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.4.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.5.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.6.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 10.0.0.0/255.255.255.0 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
#iptables -A INPUT -s 200.xxx.xxx.xxx/255.255.255.255 -p icmp -j ACCEPT
iptables -A INPUT -p icmp -j DROP
# PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# REDIRECIONAMENTO DE PORTA DA CONEXÃO
iptables -t nat -A PREROUTING -p tcp -d 200.xxx.xxx.xxx --dport 3389 -j DNAT --to 192.168.1.3:3389
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.3 --sport 3389 -j SNAT --to 200.xxx.xxx.xxx:3389
iptables -A INPUT -p tcp --source 200.xxx.xxx.xxx/255.255.255.255 --dport 3389 -j ACCEPT
iptables -A INPUT -p tcp --dport 3389 -j DROP
#INTERFACE DE LOOPBACK
iptables -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Rede local e EXTERNO
iptables -A INPUT -p tcp --syn -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.3.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.4.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.5.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.6.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.7.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#iptables -A INPUT -p tcp --syn -s 200.xxx.xxx.xxx/255.255.255.255 -j ACCEPT
#BLOQUEIA O RESTANTE
iptables -A INPUT -p tcp --syn -j DROP
falou meio...
até mais
Citação