Задать вопрос
@rhamdeew
Веб-разработчик

На что ругается snort?

Всем доброго дня!
Поставил на днях snort на сервер. Т.к. опыта работы с ним практически не имею оставил дефолтные конфиги. Так вот alert-логе стали появляться вот такие записи:


[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
10/23-05:04:22.637386 0.0.0.0 -> 224.0.0.1
IGMP TTL:1 TOS:0xC0 ID:0 IpLen:24 DgmLen:32 DF
IP Options (1) => RTRALT
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999... => http
://www.securityfocus.com/bid/2666]


Стоит ли на них реагировать?

P.S.
И еще в конфигах снорт куча настроек для мониторинга портов сервисов которых у меня нет (к примеру ORACLE). Можно ли это дело как то совсем отключить и будет ли в этом какой то толк в плане экономии ресурсов?
  • Вопрос задан
  • 2771 просмотр
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
3vi1_0n3
@3vi1_0n3
Он пишет о том, что замечен подозрительный трафик, пакеты, в которых источник и назначение совпадают, и потенциально такой трафик может быть попыткой DoS'а.
Это еще не говорит о том, что у вас есть какие-то проблемы.
Также он дает ссылку на информацию. Там написано следующее:
II. Impact
Topic 1 - Teardrop
Any remote user can crash a vulnerable machine.
Topic 2 - Land
Any remote user that can send spoofed packets to a host can crash or "hang" that host.

То есть потенциально могут возникнуть следующие проблемы: удаленный пользователь может вызвать сбой и любой удаленный пользователь может "повесить" хост, на который такие пакеты идут.
Там же видим следующее:
Red Hat Software
Topic 1 - Teardrop
Linux is not vulnerable.
Topic 2 - Land
Linux is not vulnerable.

Если у вас Linux, то проблем скорее всего не возникнет.
Ответ написан
Комментировать
@e1ferapontov
Админю всякую виртуализацию
Адрес Значение
224.0.0.1 Все узлы данного сегмента

Похоже на IGMP general query. habrahabr.ru/post/217585 -- вот тут хорошая статья на тему мультикаста.
По поводу Snort ничего сказать не могу, т.к. после Вашего сообщения впервые о нем узнал.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы