snort пишет229 127.0.0.1 200.100.100.91 BAD TRAFFIC loopback traffic {TCP}
(и так почти все адреса подсетки)
...........
0.02 3 127.0.0.1 (spp_portscan2) Portscan detected from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}
...........% # of attacks from type
11.84 1752 127.0.0.1 BAD TRAFFIC loopback traffic {TCP}Откуда этот трафик взялся ?
>snort пишет
>
>229 127.0.0.1 200.100.100.91 BAD TRAFFIC loopback traffic
>{TCP}
>(и так почти все адреса подсетки)
>...........
>0.02 3 127.0.0.1 (spp_portscan2) Portscan detected
>from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}
>...........
>
>% # of attacks from type
>11.84 1752 127.0.0.1 BAD TRAFFIC loopback traffic
>{TCP}
>
>Откуда этот трафик взялся ?Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
А кто и откуда - эт уж сам смотри.
>Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
>А кто и откуда - эт уж сам смотри.это понятно, но такого никогда не было на моей памяти.
Есть идеи как вычислить источник ?
>>Вероятно, кто-то шлёт тебе пакеты с src addr 127.0.0.1.
>>А кто и откуда - эт уж сам смотри.
>
>это понятно, но такого никогда не было на моей памяти.
>Есть идеи как вычислить источник ?загляни в /var/[local]/log/snort/alerts, там указывается src port и dst port. если нет, обнови снорт.
>snort пишет
>
>229 127.0.0.1 200.100.100.91 BAD TRAFFIC loopback traffic
>{TCP}
>(и так почти все адреса подсетки)
>...........
>0.02 3 127.0.0.1 (spp_portscan2) Portscan detected
>from 127.0.0.1: 6 targets 6 ports in 39 seconds {TCP}
>...........
>
>% # of attacks from type
>11.84 1752 127.0.0.1 BAD TRAFFIC loopback traffic
>{TCP}
>
>Откуда этот трафик взялся ?
А в какой порт тычется?