snort frage

Rund um die Sicherheit des Systems und die Applikationen
Post Reply
djholliday
Posts: 26
Joined: 2004-11-23 16:18
Location: Nürnberg
 

snort frage

Post by djholliday »

Hallo,

gestern haben die Reports von snort zum ersten mal etwas ausgegeben, was mich doch etwas stutzig macht.

# of from to method
8 <ip-address> 194.95.226.25 ATTACK-RESPONSES 403 Forbidden

Das Logfile von snort zeigt mir diese acht Pakete an.

Code: Select all

18:23:24.776184 IP <ip-address>.www > c25.shuttle.de.61148: P 1979754474:1979754932(458) ack 3848877404 win 7504
18:23:25.146544 IP <ip-address>.www > c25.shuttle.de.61148: P 0:458(458) ack 1 win 7504
18:23:25.592438 IP <ip-address>.www > c25.shuttle.de.61147: P 1971961980:1971962438(458) ack 3847958316 win 10720
18:23:25.901431 IP <ip-address>.www > c25.shuttle.de.61147: P 0:458(458) ack 1 win 10720
18:23:31.576627 IP <ip-address>.www > c25.shuttle.de.61148: P 915:1373(458) ack 1162 win 10208
18:23:34.414432 IP <ip-address>.www > c25.shuttle.de.61148: P 4233:4691(458) ack 2472 win 12483
18:23:37.321448 IP <ip-address>.www > c25.shuttle.de.61151: P 1993717151:1993717609(458) ack 3852929878 win 6570
18:25:16.088830 IP <ip-address>.www > c25.shuttle.de.61153: P 2092138716:2092139174(458) ack 3877872502 win 6630
Die Logs im Apachen habe ich schon gefunden. Es hat jemand von dieser IP auf diesem Rechner gesurft und dabei ein paar 403 bekommen.

Was mich jetzt nur interessiert, wieso werden diese 8 Packete angezeigt?

Danke,
DJ
Top
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57
 

Re: snort frage

Post by lord_pinhead »

Kommt auf dein Regelwerk an. 403 ist ein Access Denied, also hat jemand geschützte Bereiche ansurfen wollen. Mach dir kein Kopf, ich denke bei 8 Packeten geht die Welt noch nicht unter.
Top
Post Reply

Return to “Security”