Страница 1 из 1
Snort
Добавлено: 2009-06-05 15:32:59
tray.irk
Всем привет ... ставлю снорт ... следующим способом
http://trauser.no-ip.org/?p=95 ... но блин проблемма ... вываливает целую кучу пакетов ... следующего содержания ...
ID < Сигнатура > < Время > < Адрес источника > < Адрес назначения > < Слой для прото >
#0-(1-1) [snort] (snort_decoder) WARNING: IP dgm len < IP Hdr len! 2009-06-05 14:00:49 неизвестно неизвестно IP
Что это такое????
Re: Snort
Добавлено: 2009-06-05 16:44:11
hizel
посмотрите tcpdump-ом , что к нему валится
он справедливо ругается:
IP dgm len < IP Hdr len!
такого не должно быть :-)
Re: Snort
Добавлено: 2009-06-06 3:10:23
tray.irk
Может проблемма в том что комп на котором я все это ставлю, используеться для прокси и web сервера .... + еще торрент ....
Зашел в tcpdump ... ничего интересного не нашел ...
вот фрагмент ..
08:07:37.003773 IP 75-25-124-92.pppoe.irtel.ru.6890 > bzq-84-108-156-145.cablep.bezeqint.net.1605: P 1131432547:1131432551(4) ack 1391349516 win 65535
08:07:37.003780 IP 75-25-124-92.pppoe.irtel.ru.6890 > 212-162.izhnt.ru.4787: P 2561495403:2561495407(4) ack 4226822974 win 4165
08:07:37.003788 IP 75-25-124-92.pppoe.irtel.ru.6890 > 78.108.69.156.1259: P 3970335814:3970335818(4) ack 282723648 win 65535
08:07:37.003796 IP 75-25-124-92.pppoe.irtel.ru.6890 > 93.153.227.251.51433: P 1:5(4) ack 0 win 65535
08:07:37.003805 IP 75-25-124-92.pppoe.irtel.ru.6890 > 77.93.38.23.2216: P 4291448836:4291448840(4) ack 3204540104 win 65535
08:07:37.003812 IP 75-25-124-92.pppoe.irtel.ru.6890 > 83.234.14.27.63342: P 140235407:140235411(4) ack 3203056639 win 65535
08:07:37.003820 IP 75-25-124-92.pppoe.irtel.ru.6890 > 195-189-47-018.mageal.net.hermes: P 3203914558:3203914562(4) ack 2466421952 win 65535
^C08:07:37.003828 IP 75-25-124-92.pppoe.irtel.ru.6890 > 217.197.247.56.iad2: P 3370612585:3370612589(4) ack 535760089 win 4140
сразу ведь видно что это торрент ...
Re: Snort
Добавлено: 2009-06-06 11:11:01
hizel
надеюсь у вас snort не pppoe трафик слушает? :-)
Re: Snort
Добавлено: 2009-06-06 13:19:32
tray.irk
хм .... возможно ... а как от этого избавиться?
Re: Snort
Добавлено: 2009-06-06 14:08:00
hizel
смотря как вы снимаете трафик :]
Re: Snort
Добавлено: 2009-06-06 14:43:19
tray.irk
объясните что нужно сделать что бы этого не было (((
Re: Snort
Добавлено: 2009-06-07 7:03:13
tray.irk
Я просто первый раз ставлю snort ... сидел целую неделю не мог разобраться что это за фигня (( обьясните как от этого избавиться? что нужно поправить?
Re: Snort
Добавлено: 2009-06-08 3:24:22
tray.irk
Народ??? ну что ни кто ни поможет??
