snort пишет

229  127.0.0.1  200.100.100.91    BAD TRAFFIC loopback traffic {TCP}
(и так почти все адреса подсетки)
...........
0.02  3   127.0.0.1    (spp_portscan2) Portscan detected from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}  
...........

%  # of attacks  from  type
11.84  1752  127.0.0.1    BAD TRAFFIC loopback traffic {TCP}  

Откуда этот трафик взялся ?

• что за гадость ?,toor, 15:39 , 27-Окт-03
  • что за гадость ?,wwwuser, 17:37 , 27-Окт-03
    • что за гадость ?,bass, 05:04 , 28-Окт-03
• что за гадость ?,Vakero, 12:22 , 28-Окт-03

>snort пишет
>
>229  127.0.0.1  200.100.100.91    BAD TRAFFIC loopback traffic
>{TCP}
>(и так почти все адреса подсетки)
>...........
>0.02  3   127.0.0.1    (spp_portscan2) Portscan detected
>from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}
>...........
>
>%  # of attacks  from  type
>11.84  1752  127.0.0.1    BAD TRAFFIC loopback traffic
>{TCP}
>
>Откуда этот трафик взялся ?

Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
А кто и откуда - эт уж сам смотри.

>Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
>А кто и откуда - эт уж сам смотри.

это понятно, но такого никогда не было на моей памяти.
Есть идеи как вычислить источник ?

>>Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
>>А кто и откуда - эт уж сам смотри.
>
>это понятно, но такого никогда не было на моей памяти.
>Есть идеи как вычислить источник ?

загляни в  /var/[local]/log/snort/alerts, там указывается src port и dst port. если нет, обнови снорт.

>snort пишет
>
>229  127.0.0.1  200.100.100.91    BAD TRAFFIC loopback traffic
>{TCP}
>(и так почти все адреса подсетки)
>...........
>0.02  3   127.0.0.1    (spp_portscan2) Portscan detected
>from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}
>...........
>
>%  # of attacks  from  type
>11.84  1752  127.0.0.1    BAD TRAFFIC loopback traffic
>{TCP}
>
>Откуда этот трафик взялся ?

А в какой порт тычется?