:strip_icc():strip_exif()/u/74114/tux_tweakers.jpg?f=community)
Ik zit nu al een hele tijd met het volgende probleem waar ik maar geen antwoord op kan vinden:
snort geeft open port alerts op poorten die helemaal niet open zouden moeten staan!
Onderstaande geeft een goed overzicht van wat ik zoal zie in base, het zijn iig geen opzichzelfstaande alerts die ik bijvoorbeeld af zou kunnen doen als false positives tgv door mij geïnitieerd traffic:
#28-(9-395100) [snort] (portscan) Open Port: 4662 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#29-(9-395099) [snort] (portscan) TCP Decoy Portscan 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#30-(9-395102) [snort] (portscan) Open Port: 1214 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#31-(9-395103) [snort] (portscan) Open Port: 49583 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#32-(9-395101) [snort] (portscan) Open Port: 49873 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#33-(9-395090) [snort] (portscan) Open Port: 49583 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#34-(9-395089) [snort] (portscan) Open Port: 4662 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#35-(9-395088) [snort] (portscan) Open Port: 43196 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#36-(9-395087) [snort] (portscan) Open Port: 49873 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#37-(9-395086) [snort] (portscan) TCP Decoy Portscan 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
Wat je ziet zijn 2 portscans, die behalve poorten die daadwerkelijk openstaan (poort 1214, 4662 en 49873) ook een tweetal poorten opleveren die ik dus niet kan plaatsen (43196 en 49583)
Wat verder opvalt is dat dit 'probleem' zich vaker voordoet als ik azureus heb draaien, maar wat dan wel vreemd is is dat ik dus vrij regelmatig scans zoals hierboven zie langskomen. Vreemd als in poort 4662 correspondeerd met mldonkey en 49873 met azureus. Het moeten dus haast wel echte scans zijn, de kans dat iemand (laat staan meerdere personen in een kort tijdsbestek) zowel mldonkey als azureus draait EN met beide bij mij uitkomt lijkt me nogal klein.
Waar ik zelf aan zit te denken is UDP poorten en dan wel UDP poorten die opengezet zijn tgv clientside traffic. Of zit ik nu verkeerd te denken en zou mijn statefull firewall (linux 2.6) net zo goed udp traffic dat niet gerelateerd is aan een actie van mijn kant moeten blokkeren?
Wie o wie heeft hier een verklaring voor?
snort geeft open port alerts op poorten die helemaal niet open zouden moeten staan!
Onderstaande geeft een goed overzicht van wat ik zoal zie in base, het zijn iig geen opzichzelfstaande alerts die ik bijvoorbeeld af zou kunnen doen als false positives tgv door mij geïnitieerd traffic:
#28-(9-395100) [snort] (portscan) Open Port: 4662 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#29-(9-395099) [snort] (portscan) TCP Decoy Portscan 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#30-(9-395102) [snort] (portscan) Open Port: 1214 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#31-(9-395103) [snort] (portscan) Open Port: 49583 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#32-(9-395101) [snort] (portscan) Open Port: 49873 2006-12-10 16:03:42 193.217.100.100 62.163.49.141 Raw IP
#33-(9-395090) [snort] (portscan) Open Port: 49583 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#34-(9-395089) [snort] (portscan) Open Port: 4662 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#35-(9-395088) [snort] (portscan) Open Port: 43196 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#36-(9-395087) [snort] (portscan) Open Port: 49873 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
#37-(9-395086) [snort] (portscan) TCP Decoy Portscan 2006-12-10 16:01:27 81.224.208.103 62.163.49.141 Raw IP
Wat je ziet zijn 2 portscans, die behalve poorten die daadwerkelijk openstaan (poort 1214, 4662 en 49873) ook een tweetal poorten opleveren die ik dus niet kan plaatsen (43196 en 49583)
Wat verder opvalt is dat dit 'probleem' zich vaker voordoet als ik azureus heb draaien, maar wat dan wel vreemd is is dat ik dus vrij regelmatig scans zoals hierboven zie langskomen. Vreemd als in poort 4662 correspondeerd met mldonkey en 49873 met azureus. Het moeten dus haast wel echte scans zijn, de kans dat iemand (laat staan meerdere personen in een kort tijdsbestek) zowel mldonkey als azureus draait EN met beide bij mij uitkomt lijkt me nogal klein.
Waar ik zelf aan zit te denken is UDP poorten en dan wel UDP poorten die opengezet zijn tgv clientside traffic. Of zit ik nu verkeerd te denken en zou mijn statefull firewall (linux 2.6) net zo goed udp traffic dat niet gerelateerd is aan een actie van mijn kant moeten blokkeren?
Wie o wie heeft hier een verklaring voor?