PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Snort: Seltsame Einträge in 'alert'



Apoll
15.05.05, 15:25
Hallo,

habe eben mal in meine snort alert-Datei gesehen (die mittlerweile schon einige MB groß ist).
Seit einigen Tagen ist folgender Eintrag andauernd zu sehen:


[**] [1:525:9] BAD-TRAFFIC udp port 0 traffic [**]
[Classification: Misc activity] [Priority: 3]
05/15-15:09:39.708207 192.168.1.10:0 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:56691 IpLen:20 DgmLen:333
Len: 305
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10074][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0675][Xref => http://www.securityfocus.com/bid/576]

Den Links, die mit ausgegeben werden nach, handelt es sich um eine DoS-Attacke auf Port 0, die die Check Point FireWall-1 crashen kann (Ist bei mir nicht in Verwendung). Außerdem irritiert mich die IP "239.255.255.250" etwas.

192.168.1.10 ist übrigens mein DSL-Gateway, hinter dem sich mein Host in der LAN befindet. Kann mir evtl jemand eine Erklärung zu diesem Eintrag liefern?

MfG, Apoll

cane
17.05.05, 11:39
Außerdem irritiert mich die IP "239.255.255.250" etwas.

Bei UDP-Paketen kann man die IP des Absenders (Source-IP) beliebig fälschen da UDP verbindungslos arbeitet...



192.168.1.10 ist übrigens mein DSL-Gateway, hinter dem sich mein Host in der LAN befindet. Kann mir evtl jemand eine Erklärung zu diesem Eintrag liefern?


Die Erklärung ist doch in den drei Links zu finden:


There is a known bug with FireWall-1 relating to UDP packets traveling through VPN-1 destined to any host at port 0. This issue only seems to take place when the VPN being used for the transport of the packet supports ISAKMP encryption. It has been reported that Solaris hosts being attacked via this method will reboot.

Da Du keine Checkpoit FW hast brauchen dich die Logs nicht weiter zu interessieren...

mfg
cane

Apoll
17.05.05, 22:30
Hi cane,

Danke erstmal für die Antwort.

Hab mich ein bisschen unglücklich ausgedrückt. Mit Erklärung meinte ich, wieso seit mehr als 2 Wochen rund um die Uhr diese UDP-Pakete eintreffen... Wobei dies eh nicht wirklich von Belang ist, da ein Paketfilter bereits in Planung ist. ;)

Aber irgendwann sollte doch auch der Letzte merken, dass diese Flut an UDP-Paketen keinen Sinn bei mir macht.

MfG, Philipp

cane
18.05.05, 00:26
Aber irgendwann sollte doch auch der Letzte merken, dass diese Flut an UDP-Paketen keinen Sinn bei mir macht.

Außer "er" ist ein Wurm oder andere Malware und kann daher nicht eigenständig denken...

mfg
cane