(snort_decoder) : Truncated Tcp Options
[**] (snort_decoder): Truncated Tcp Options [**]
01/22/04-13:28:08.385596 200.255.228.65:80 -> 200.xxx.xxx.xx:19125
TCP TTL:50 TOS:0x0 ID:675 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x2F615534 Ack: 0xCB82855B Win: 0x6028 TcpLen: 32
olá tudo bom?
Por favor , alguém poderia me dizer o q significa este alert do snort
Eu procurei na net e não encontrei nada sobre
Qualquer informação eu agradeço
valeu
dougld
(snort_decoder) : Truncated Tcp Options
Dougld,
Se você estiver usando iptables dá uma checada se você possui alguma regra para aceite de pacotes ao loopback, pois se vc usou o comando
iptables -P INPUT DROP
ele estará dropando inclusive pacotes para o lo.
Isso pode ser presumido pela linha: 200.255.228.65:80 -> 200.xxx.xxx.xx:19125 onde houve um redirecionamento de portas.
Repare que o Time To Live é de 50, ou seja, padrão! Se fosse uma tentativa de invasão esse tempo estaria setado como muito maior.
o Type of Service é de 0x0 que é de NORMAL-SERVICE.
Então, acredito que este seja o problema.
Se não resolver, tá um toque pois esse problema "não ocorre todo dia"!
[]´s
Rodrigo
(snort_decoder) : Truncated Tcp Options
Legal Doug...
Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
Já na regra:
iptables -A INPUT -p tcp --syn -j DROP
repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
iptables -P INPUT DROP
o -P serve para indicar uma regra padrão
e o DROP não precisa de -j pq se trata de regra estática.
espero ter exclarecido
qualquer dúvida estamos aí...
[]´s
(snort_decoder) : Truncated Tcp Options
Citação:
Postado originalmente por Anonymous
Legal Doug...
Nessas regras vc pode fazer o seguinte pra dar uma melhorada!!!
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
Essa regra diz pra aceitar apenas pacotes tcp com a flag em syn, porém como é um loopback, ele pode conter um sinal de ack (acknoledge) que ele respondeu pra ele mesmo, então a melhor coisa seria um
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
Já na regra:
iptables -A INPUT -p tcp --syn -j DROP
repare que vc está dropando apenas respostas para o protocolo tcp com a flag syn, (olha a brecha) todos os pacotes UDP, ICMP e tcp exceto syn estão passando direto pelo seu firewall, e então se vc pingar o ip dessa máquina ela deve responder, coisa que ela normalmente não deveria!
Para resolver esse problema segue a regra, repare que essa regra vc pôe no começo do arquivo de regras:
iptables -P INPUT DROP
o -P serve para indicar uma regra padrão
e o DROP não precisa de -j pq se trata de regra estática.
espero ter exclarecido
qualquer dúvida estamos aí...
[]´s
fala meiolouco blz
realmente no de loopback eu posso passar o flag ack q não tem problema e apenas eu flag de resposta de recebimento do pacote
agora tipo eu concordo tbm em mexer no polices do INPUT eu tava meio preocupado em parar tudo , mas lá para o final de expediente vou mudar lá o polices e ver no q dá!!!!!!!
sobre os os protocolos udp tcp e icmp eles estão protegidos ,o ping não funciona mas realmente eu terei q ver se as udp e tcp apenas com syn estão dropando ok
valeu , qualquer dúvida eu posto aki