[PLUTO-help] snort: BAD TRAFFIC loopback traffic
Mauro Luzi
mauro a pluto.it
Dom 7 Mar 2004 12:09:09 CET
Il dom, 2004-03-07 alle 09:54, windfall ha scritto:
> Ciao a tutti!
> premesso che ho una connessione dial-up ho da porvi il seguente
> quesito:
> guardando nel tra gli alert di snort ho il messaggio di cui sopra che
> avviene diverse volte per connessione...
> ho girato un pò in rete e ho letto di tutto: router del provider che non
> funzionano bene, loopback mal configurata, virus che colpiscono
> microsoft etc etc..
>
> mi sapete dire a cosa può essere dovuto?
>
> c'è un modo per fermare il problema? devo togliere il rule (falso
> negativo??) o devo mettere una regola in iptables per bloccare i
> pacchetti?
>
> seguono:
> configurazione dell'interfacia di loopback:
>
> lo Link encap:Local Loopback
> inet addr:127.0.0.1 Mask:255.0.0.0
> UP LOOPBACK RUNNING MTU:16436 Metric:1
> RX packets:1199 errors:0 dropped:0 overruns:0 frame:0
> TX packets:1199 errors:0 dropped:0 overruns:0 carrier:0
> collisions:0 txqueuelen:0
> RX bytes:408786 (399.2 KiB) TX bytes:408786 (399.2 KiB)
>
> messaggio di snort:
>
> [**] [1:528:2] BAD TRAFFIC loopback traffic [**]
> [Classification: Potentially Bad Traffic] [Priority: 2]
> 02/22-00:01:28.017227 127.0.0.1:80 -> mioipdinamico:1393
> TCP TTL:124 TOS:0x0 ID:50383 IpLen:20 DgmLen:40
> ***A*R** Seq: 0x0 Ack: 0x47B20001 Win: 0x0 TcpLen: 20
>
> tcpdump:
> 00:01:28.017227 127.0.0.1.80 > mioipdinamico.1393: R 0:0(0) ack
> 1202847745 win 0
>
> mioipdinamico è il mio indirizzo in quel momento
>
> grazie a tutti per le indicazioni e le info che vorrete inviarmi
>
avendo linux un'implementazione del tcp/ip detta "debole" e' molto utile
bloccare il forward verso la loopback. in ogni caso snort ti segnalera'
il problema, lui raccoglie i dati prima dei punti decisionali di
iptables.
bye
--
Mauro Luzi <mauro a pluto.it>
PLUTO Project - http://www.pluto.it
More information about the pluto-help
mailing list