reddin reddin 24.09.2014, 09:15:16 1 + Mirasy pytanie, jak to rozumieć? To jest alert ze SNORTa [] [1:486:4] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited [][Classification: Misc activity] [Priority: 3] 09/24-10:22:17.057036 178.32.207.206 -> X.X.X.XICMP TTL:56 TOS:0x0 ID:41817 IpLen:20 DgmLen:68Type:3 Code:10 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED HOST FILTERED ORIGINAL DATAGRAM DUMP:X.X.X.X:41111 -> 178.32.207.206:80TCP TTL:56 TOS:0x0 ID:30835 IpLen:20 DgmLen:40 DFSeq: 0xB9B3(12 more bytes of original packet) END OF DUMP* X.X.X.X to moje IP publiczne To znaczy, że ktoś chce mnie pingować? Ale co znaczy: X.X.X.X:41111 -> 178.32.207.206:80?#komputery #linux #sysadmin #snort #sieci
reddin reddin 24.09.2014, 09:21:08 0 + @Dolan: No nie, bo to sieć firmowa, znaczy że 41111 to jakiś torrentowy port? I OVH szukało u mnie otwartego 41111?
Dolan Dolan 24.09.2014, 09:22:00 1 + @reddin: pomyliłem się,X.X.X.X:41111 -> 178.32.207.206:80wychodzi od ciebie na 178.32.207.206 na port 80 wiec http.port 41111 to foursticks qos protocol
reddin reddin 24.09.2014, 09:23:37 0 + @Dolan: Może ktoś za NAT podłączał się do 80 tam portu, a wyżej 178.32.207.206 -> X.X.X.XInny przykład:[] [1:485:4] ICMP Destination Unreachable Communication AdministrativelyPokaż całość
Dolan Dolan 24.09.2014, 09:28:39 1 + @reddin: może ktoś po prostu odpalił torrenta w firmie :D te porty są losowe jak widać
reddin reddin 24.09.2014, 09:30:47 0 + 54732@Dolan: Może, ale nie wiedzę wzmożonego ruchu na zabbixie
reddin reddin 24.09.2014, 09:46:06 0 + @Dolan: Właśnie nie widzę, a cat /proc/net/ip_conntrack nic nie pokazuje
brokenik brokenik 24.09.2014, 10:01:28 1 + @reddin: Ja tu widzę, że po prostu masz wyłączoną komunikację ICMP stąd SNORT Ci wysyła powiadomienie, że taki ruch się gdzieś pojawił. Z tego co widzę to nic groźnego.
reddin reddin 24.09.2014, 10:06:20 0 + Ja tu widzę, że po prostu masz wyłączoną komunikację ICMP stąd SNORT Ci wysyła powiadomienie@brokenik: Tak, mam wyłączone odpowiedzi ICMP, tylko myślałem, że to coś "głębszego" w tym jest.Dzięki za poświęcony czas.
brokenik brokenik 24.09.2014, 10:10:25 1 + @reddin: Nie powinieneś wyłączać całego ICMP. ICMP poza pingiem ma też ważne pakiety takie jak Destination Unreachable właśnie oraz Source Quench.
[] [1:486:4] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited []
[Classification: Misc activity] [Priority: 3]
09/24-10:22:17.057036 178.32.207.206 -> X.X.X.X
ICMP TTL:56 TOS:0x0 ID:41817 IpLen:20 DgmLen:68
Type:3 Code:10 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED HOST FILTERED
ORIGINAL DATAGRAM DUMP:
X.X.X.X:41111 -> 178.32.207.206:80
TCP TTL:56 TOS:0x0 ID:30835 IpLen:20 DgmLen:40 DF
Seq: 0xB9B3
(12 more bytes of original packet)
END OF DUMP
* X.X.X.X to moje IP publiczne
To znaczy, że ktoś chce mnie pingować? Ale co znaczy: X.X.X.X:41111 -> 178.32.207.206:80?
#komputery #linux #sysadmin #snort #sieci
Komentarz usunięty przez autora
X.X.X.X:41111 -> 178.32.207.206:80
wychodzi od ciebie na 178.32.207.206 na port 80 wiec http.
port 41111 to foursticks qos protocol
Inny przykład:
[] [1:485:4] ICMP Destination Unreachable Communication Administratively
@Dolan: Może, ale nie wiedzę wzmożonego ruchu na zabbixie
@brokenik: Tak, mam wyłączone odpowiedzi ICMP, tylko myślałem, że to coś "głębszego" w tym jest.
Dzięki za poświęcony czas.
@brokenik: Rozumiem.