Info alert snort
Inviato: lunedì 3 gennaio 2011, 13:23
Salve, ho avuto dei problemi con la configurazione del router, ma da quando l'ho resettato la situazione è nettamente migliorata ho solo alcuni dubbi sugli alert di snort. Per esempio ho questo alert:
[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
01/03-11:07:54.414404 41.130.49.11:1971 -> 192.168.1.101:53270
TCP TTL:238 TOS:0x0 ID:0 IpLen:20 DgmLen:40 DF
***A*R** Seq: 0x0 Ack: 0x8DE13DA1 Win: 0x0 TcpLen: 20
l'indirizo ip 41.130.49.11 non dovrebbe essere presente, non ho la porta 53270 in ascolto. Ho visto il log di tcpdump con wireshark ma non si capisce molto usa udp. Avete suggerimenti?
[**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**]
[Classification: Attempted Denial of Service] [Priority: 2]
01/03-11:07:54.414404 41.130.49.11:1971 -> 192.168.1.101:53270
TCP TTL:238 TOS:0x0 ID:0 IpLen:20 DgmLen:40 DF
***A*R** Seq: 0x0 Ack: 0x8DE13DA1 Win: 0x0 TcpLen: 20
l'indirizo ip 41.130.49.11 non dovrebbe essere presente, non ho la porta 53270 in ascolto. Ho visto il log di tcpdump con wireshark ma non si capisce molto usa udp. Avete suggerimenti?