Os pacotes aleatórios são normais?

Question

Os pacotes aleatórios são normais?

#1 resposta do (1 votos)

2

Cerca de um mês atrás, em um dos meus servidores, comecei a receber pacotes aleatórios de IPs em todo o mundo. Então eu fiz a coisa mais inteligente e parei de adiar a instalação de um IDS. Este IDS é um ClearOS Gateway que vem com o Snort e o SnortSam. Eu habilitei e todas as classificações. A classificação de "varredura de rede" está lá, o que significa que ele deve estar detectando os portscans e tais

Há um total de 4 portas abertas, duas das quais encaminham para o servidor que estou falando. Essas portas são 3724 e 8085, então elas não serão facilmente detectadas em uma varredura de portas.

No entanto, ao verificar alguns logs deste servidor, descobri que o ataque está sendo retomado. Eu encontrei isso

...
Accepting connection from '75.166.155.122'
[Auth] got unknown packet from '75.166.155.122'
Accepting connection from '98.164.154.93'
[Auth] got unknown packet from '98.164.154.93'
Ping MySQL to keep connection alive
Accepting connection from '70.241.195.129'
[Auth] got unknown packet from '70.241.195.129'
Accepting connection from '67.182.229.169'
[Auth] got unknown packet from '67.182.229.169'
Accepting connection from '69.137.140.38'
[Auth] got unknown packet from '69.137.140.38'
Accepting connection from '76.31.72.55'
[Auth] got unknown packet from '76.31.72.55'
Accepting connection from '97.88.139.39'
[Auth] got unknown packet from '97.88.139.39'
Accepting connection from '173.35.62.112'
[Auth] got unknown packet from '173.35.62.112'
Accepting connection from '187.15.10.73'
[Auth] got unknown packet from '187.15.10.73'
Accepting connection from '66.66.94.124'
[Auth] got unknown packet from '66.66.94.124'
Accepting connection from '75.159.219.124'
[Auth] got unknown packet from '75.159.219.124'
Accepting connection from '99.102.100.82'
[Auth] got unknown packet from '99.102.100.82'
Accepting connection from '24.128.240.45'
[Auth] got unknown packet from '24.128.240.45'
Accepting connection from '99.231.7.39'
[Auth] got unknown packet from '99.231.7.39'
Accepting connection from '206.255.79.56'
[Auth] got unknown packet from '206.255.79.56'
Accepting connection from '68.97.106.235'
[Auth] got unknown packet from '68.97.106.235'
Accepting connection from '69.134.67.251'
[Auth] got unknown packet from '69.134.67.251'
Accepting connection from '63.228.138.186'
[Auth] got unknown packet from '63.228.138.186'
Accepting connection from '184.39.146.193'
[Auth] got unknown packet from '184.39.146.193'
Accepting connection from '69.171.161.102'
[Auth] got unknown packet from '69.171.161.102'
Accepting connection from '76.0.47.228'
[Auth] got unknown packet from '76.0.47.228'
Ping MySQL to keep connection alive
Accepting connection from '126.112.201.14'
[Auth] got unknown packet from '126.112.201.14'
Ping MySQL to keep connection alive

Agora isso me assusta. Por que o Snort não está detectando isso? Como eles conseguiram encontrar essa porta específica?

Mais importante, o que normalmente esses pacotes contêm? Isso é algo que eu deveria estar preocupado? Como posso parar isso?

port-forwarding snort port-scanning intrusion-detection

por TheLQ 11.01.2011 / 02:10

1 resposta

Tags port-forwarding snort port-scanning intrusion-detection

Adiciona o htaccess para o phpMyAdmin instalado em / usr / share /? nginx não fecha o soquete

score 1 · Accepted Answer

Como a maioria dos IDSs, o Snort é uma parte muito complexa da tecnologia e requer uma boa quantidade de esforço para começar a produzir resultados úteis. O ajuste exige muito tempo gasto na análise dos alertas, bem como os serviços disponíveis para determinar quais conjuntos de regras precisam ser habilitados e quais precisam ser desabilitados. Sabendo que você está interessado em dois serviços especificamente ajuda a diminuir o que pode ser útil você.

Analisando as regras oficiais do SourceFire, bem como as EmergingThreats de terceiros, o único alerta que encontrei é a correspondência entre o Mundo de Warcraft login sucessos e fracassos. Eu começaria pesquisando no site de regras do SourceFire para seus serviços. Você também pode lucrar com a leitura do pré-processador sfPortscan no Manual .

Infelizmente, não sei muito sobre o ClearOS e como eles envolvem o gerenciamento do aplicativo. No entanto, a aplicação snort é na verdade uma leitura bastante fácil, uma vez que você passa pela verbosidade.