Monitoranto com snort

[gilmarcabral]

ola a todos eu instalei o snort aki, e coloquei ele para monitorar um monte de serviços kazaa, emule, e worn tambem, e tem alguns ips aque estão aparecendo no log. por exemplo:

[**] [116:47:1] (snort_decoder) WARNING: TCP Header length exceeds packet length! [**]
09/08-11:22:35.151754 201.24.75.237:0 -> 201.24.133.202:0
TCP TTL:123 TOS:0x0 ID:64943 IpLen:20 DgmLen:48 DF
***AP*** Seq: 0xFC234F39 Ack: 0xDCC4BED Win: 0xFFFF TcpLen: 48


So que não se isto foi uma tentativa de invasão ou uma invasão sucedida.
Alguem poderia me mandar um log ou informar como e que e um log de tentativa de invasão e outro de invasão bem sucedidada.
Desde ja agradeço

[charadaa]

então cara aconselho vc a usar tambem um monitor de trafego de rede de modo que vc conseguisse ver quanto foi transmitido entre seu ip e este, mas pode não ser nada pois se fosse possivelmente o invasor teria apagado as informações referentes a ele do seu log, faça o teste veja se o pacote morre na tentaiva de conexão se há alguma resposta da sua maquina para o ip do suposto invasor, qq coisa posta aq.

Abraços

[ariane]

Um dica aih
Olha para analisar o trafego de pacotes e serviços na tua rede, voê pode utilizar as ferramentas ntop e iptraf.

Eu gostei delas, mas ando tb pesquisando.

O ntop gera relatório na browser de trafego da rede, dominios acessados e serviços, têm muitas informações

O iptraf, eh em modo texto, ele mostra facilmente a quantidade de pacotes trafegados, e ainda faz o dns reverso, eh bem pratico, ah ele coloca tua placa em modo promisc.

artigo sobre o ntop http://www.vivaolinux.com.br/artigos...hp?codigo=2825

iptraf http://cebu.mozcom.com/riker/iptraf/2.7/manual.html