Freekazonid
30.05.04, 20:11
moin
hab mir heute zum ersten mal snort angesehen und auf meinen rh8 nat geschmissen. nach kurzem einlesen hab ich snort mal mit
snort -c etc/snort.conf -A full -h 192.168.0.1/24 -D
gestartet, etc/snort.conf ist die standardconfig, wollte erstmal ausprobieren ob sich ueberhaupt was tut. also das dingen erstmal ohne plan gestartet und tail -f /var/log/snort/alert laufen lassen, ich denke da kommt eh nix, und zupp ist schnell der screen seitenweise voll mit zeug à la
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:30.227933 82.82.117.93:1413 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:5899 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5849A93D Ack: 0xFC8E3D5E Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:40.570936 82.82.117.93:1432 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:6331 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x587F4E51 Ack: 0xFD195B13 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:47.941604 82.82.117.93:1452 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:6769 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x58AA7396 Ack: 0xFDA71651 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:23:50.642912 82.174.48.107 -> 82.82.117.93
ICMP TTL:122 TOS:0x0 ID:30894 IpLen:20 DgmLen:28
Type:8 Code:0 ID:512 Seq:31718 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:55.781134 82.82.117.93:1472 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:7116 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x58D7F84A Ack: 0xFEE52629 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:24:06.284282 82.82.117.93:1491 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:7567 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x590D33EC Ack: 0xFF1B049E Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:24:24.612863 82.82.117.93:1513 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8142 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5963FC2F Ack: 0xFFF814F6 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:23.503668 82.82.117.93:1545 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8467 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5A5593D6 Ack: 0x3E0DE09 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:26.416235 82.82.117.93:1554 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8563 IpLen:20 DgmLen:362 DF
***AP*** Seq: 0x5A65F296 Ack: 0x42C55B4 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:40.644598 82.82.117.93:1584 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8954 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5AB13A97 Ack: 0x5057C41 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:25:49.156311 82.82.88.66 -> 82.82.117.93
ICMP TTL:122 TOS:0x0 ID:25530 IpLen:20 DgmLen:28
Type:8 Code:0 ID:768 Seq:59140 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:54.087339 82.82.117.93:1619 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:9513 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5AF8E355 Ack: 0x51F65E0 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:27:15.005815 82.168.69.54 -> 82.82.117.93
ICMP TTL:119 TOS:0x0 ID:35899 IpLen:20 DgmLen:28
Type:8 Code:0 ID:768 Seq:34316 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
was heisst das allet? wie soll ich das deuten? und was hat da das NMAP zu suchen?
waere fuer etwas aufklaerung dankbar
hab mir heute zum ersten mal snort angesehen und auf meinen rh8 nat geschmissen. nach kurzem einlesen hab ich snort mal mit
snort -c etc/snort.conf -A full -h 192.168.0.1/24 -D
gestartet, etc/snort.conf ist die standardconfig, wollte erstmal ausprobieren ob sich ueberhaupt was tut. also das dingen erstmal ohne plan gestartet und tail -f /var/log/snort/alert laufen lassen, ich denke da kommt eh nix, und zupp ist schnell der screen seitenweise voll mit zeug à la
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:30.227933 82.82.117.93:1413 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:5899 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5849A93D Ack: 0xFC8E3D5E Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:40.570936 82.82.117.93:1432 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:6331 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x587F4E51 Ack: 0xFD195B13 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:47.941604 82.82.117.93:1452 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:6769 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x58AA7396 Ack: 0xFDA71651 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:23:50.642912 82.174.48.107 -> 82.82.117.93
ICMP TTL:122 TOS:0x0 ID:30894 IpLen:20 DgmLen:28
Type:8 Code:0 ID:512 Seq:31718 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:23:55.781134 82.82.117.93:1472 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:7116 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x58D7F84A Ack: 0xFEE52629 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:24:06.284282 82.82.117.93:1491 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:7567 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x590D33EC Ack: 0xFF1B049E Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:24:24.612863 82.82.117.93:1513 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8142 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5963FC2F Ack: 0xFFF814F6 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:23.503668 82.82.117.93:1545 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8467 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5A5593D6 Ack: 0x3E0DE09 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:26.416235 82.82.117.93:1554 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8563 IpLen:20 DgmLen:362 DF
***AP*** Seq: 0x5A65F296 Ack: 0x42C55B4 Win: 0x7FFF TcpLen: 20
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:40.644598 82.82.117.93:1584 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:8954 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5AB13A97 Ack: 0x5057C41 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:25:49.156311 82.82.88.66 -> 82.82.117.93
ICMP TTL:122 TOS:0x0 ID:25530 IpLen:20 DgmLen:28
Type:8 Code:0 ID:768 Seq:59140 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
[**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**]
05/30-19:25:54.087339 82.82.117.93:1619 -> 64.236.164.209:80
TCP TTL:127 TOS:0x0 ID:9513 IpLen:20 DgmLen:382 DF
***AP*** Seq: 0x5AF8E355 Ack: 0x51F65E0 Win: 0x7FFF TcpLen: 20
[**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
05/30-19:27:15.005815 82.168.69.54 -> 82.82.117.93
ICMP TTL:119 TOS:0x0 ID:35899 IpLen:20 DgmLen:28
Type:8 Code:0 ID:768 Seq:34316 ECHO
[Xref => http://www.whitehats.com/info/IDS162]
was heisst das allet? wie soll ich das deuten? und was hat da das NMAP zu suchen?
waere fuer etwas aufklaerung dankbar