Frozen Fido : RU.UNIX.BSD : snort не разрывает соединения!

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Dmitry Teplyakov                     2:5020/400     11 Dec 2003  12:29:52
 To : All
 Subject : snort не разрывает соединения!
 --------------------------------------------------------------------------------

   Здравствуйте!
   Хочу чтобы мой снорт разрывал определенные соединения.
   Система FreeBSD 5.2 STABLE, snort 2.0.5 собран с enable-flexresp.
   В правиле Scan squid proxy attempt в конце ставлю resp:rst_all;
   Далее запускаю сканер портов на один этот порт. Снорт нормально видит
 атаку, правило срабатывает ( есть запись в логе). Hо есть одна проблема:
 если верить документации, то команда rst_all должна разорвать соединение и
 не дать сканеру определить открытый порт. Hо вот что происходит:
   -------------------------- 
   10.150.150.37.4604 > 10.150.150.1.3128: S 3593785322:3593785322(0) win
 64240 <mss 1460,nop,nop,sackOK> (DF)
   10.150.150.1.3128 > 10.150.150.37.4604: S 1687393539:1687393539(0) ack
 3593785323 win 65535 <mss 1460> (DF)
   10.150.150.37.4604 > 10.150.150.1.3128: . ack 1 win 64240 (DF)
   10.150.150.37.4604 > 10.150.150.1.3128: P 1:2(1) ack 1 win 64240 (DF)
   10.150.150.1.3128 > 10.150.150.37.4604: . ack 2 win 65535 (DF)
   10.150.150.1.3128 > 10.150.150.37.4604: R 2607573757:2607573757(0) ack 0
 win 0
   10.150.150.37.netbios-ns > 10.150.150.1.netbios-ns: NBT UDP PACKET(137):
 QUERY; REQUEST; BROADCAST
   10.150.150.1 > 10.150.150.37: icmp: 10.150.150.1 udp port netbios-ns
 unreachable
   10.150.150.37.netbios-ns > 10.150.150.1.netbios-ns: NBT UDP PACKET(137):
 QUERY; REQUEST; BROADCAST
   10.150.150.1 > 10.150.150.37: icmp: 10.150.150.1 udp port netbios-ns
 unreachable
   10.150.150.37.4604 > 10.150.150.1.3128: F 2:2(0) ack 1 win 64240 (DF)
   10.150.150.1.3128 > 10.150.150.37.4604: . ack 3 win 65535 (DF)
   10.150.150.1.3128 > 10.150.150.37.4604: F 1:1(0) ack 3 win 65535 (DF)
   10.150.150.37.4604 > 10.150.150.1.3128: . ack 2 win 64240 (DF)
   -------------------- 
   10.150.150.37 - атакующая машина,
   10.150.150.1 - сервер.
 
   Вот и получается, что снорт вроде бы и отсылает команду на сброс
 соединения, но толку от нее никакого. Посему и вопрос: это так и должно
 быть? Или где-то еще надо поковыряться?
   И может есть другие варианты реагирования на атаки для снорта (snortsam не
 предлагать - он с ipfw не работает)
 
   Заранее спасибо!
   Дмитрий
 --- ifmail v.2.15dev5.1
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
snort не разрывает соединения!	Dmitry Teplyakov	11 Dec 2003 12:29:52
snort не разрывает соединения!	Andrey Ostanovsky	12 Dec 2003 01:40:03

Архивное /ru.unix.bsd/65777ea3ec07.html, оценка 3 из 5, голосов 10