forum.opennet.ru - "snort ругается на squid... " (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"snort ругается на squid... "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"snort ругается на squid... "
Сообщение от kazak on 14-Янв-04, 14:18 (MSK)
Каждый раз выходя в инет через squid - snort записывает в alert: [] [1:618:5] SCAN Squid Proxy attempt [] [Classification: Attempted Information Leak] [Priority: 2] 01/13-18:32:15.784181 0:0:39:93:19:DB -> 0:C:6E:6F:8F:E2 type:0x800 len:0x3E 192.168.5.1:2379 -> 192.168.5.3:3128 TCP TTL:128 TOS:0x0 ID:14463 IpLen:20 DgmLen:48 DF *****S Seq: 0x9D4C276C Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1460 NOP NOP SackOK А вот правило: scan.rules alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; stateless; flags:a
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

snort ругается на squid..., HFSC, 16:59 , 14-Янв-04, (1)
- snort ругается на squid..., kazak, 17:14 , 14-Янв-04, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "snort ругается на squid..."

Сообщение от HFSC on 14-Янв-04, 16:59  (MSK)

>Каждый раз выходя в инет через squid - snort записывает в alert:
>
>[**] [1:618:5] SCAN Squid Proxy attempt [**]
>[Classification: Attempted Information Leak] [Priority: 2]
>01/13-18:32:15.784181 0:0:39:93:19:DB -> 0:C:6E:6F:8F:E2 type:0x800 len:0x3E
>192.168.5.1:2379 -> 192.168.5.3:3128 TCP TTL:128 TOS:0x0 ID:14463 IpLen:20 DgmLen:48 DF
>******S* Seq: 0x9D4C276C  Ack: 0x0  Win: 0xFAF0  TcpLen: 28
>
>TCP Options (4) => MSS: 1460 NOP NOP SackOK
>
>А вот правило: scan.rules
>alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; stateless; flags:a
в snort.conf PASS tcp $EXTERNAL_NET any -> $HOME_NET 3128
и запускать с -o

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "snort ругается на squid..."

Сообщение от kazak on 14-Янв-04, 17:14  (MSK)

Спасибо сработало. А, что значит  SCAN Squid Proxy attempt [**]
[Classification: Attempted Information Leak]. Почему он посчитал это атакой? И что произошло когда я изменил в правиле alert на pass?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "snort ругается на squid..."
Сообщение от HFSC on 14-Янв-04, 16:59 (MSK)
>Каждый раз выходя в инет через squid - snort записывает в alert: > >[] [1:618:5] SCAN Squid Proxy attempt [] >[Classification: Attempted Information Leak] [Priority: 2] >01/13-18:32:15.784181 0:0:39:93:19:DB -> 0:C:6E:6F:8F:E2 type:0x800 len:0x3E >192.168.5.1:2379 -> 192.168.5.3:3128 TCP TTL:128 TOS:0x0 ID:14463 IpLen:20 DgmLen:48 DF >*****S Seq: 0x9D4C276C Ack: 0x0 Win: 0xFAF0 TcpLen: 28 > >TCP Options (4) => MSS: 1460 NOP NOP SackOK > >А вот правило: scan.rules >alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; stateless; flags:a в snort.conf PASS tcp $EXTERNAL_NET any -> $HOME_NET 3128 и запускать с -o
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "snort ругается на squid..."
	Сообщение от kazak on 14-Янв-04, 17:14 (MSK)
	Спасибо сработало. А, что значит SCAN Squid Proxy attempt [**] [Classification: Attempted Information Leak]. Почему он посчитал это атакой? И что произошло когда я изменил в правиле alert на pass?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх