Toon posts:

[Snort&iptables] ziet ook dropped packets!?!

Pagina: 1
Acties:

donderdag 10 april 2003 08:57

Acties:
  • [Yellow]
  • Registratie: December 2000
  • Niet online

[Yellow]

Topicstarter
Hoi,

Ik heb 1 Mandrake machine die als firewall, server, etc dienst doet. Ik heb hier ook snort op draaien.

Het gekke is nu dat snort ook pakketten ziet die door iptables gedropped worden. Voorbeeldje:

code:
1
2
3
4
5
6

kernel: ICMP Dropped IN=eth0 OUT= MAC=xxx SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx 
        LEN=56 TOS=0x00 PREC=0x00 TTL=47 ID=37619 DF PROTO=ICMP TYPE=4 CODE=0 
        [SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00
        TTL=47 ID=52554 DF PROTO=TCP INCOMPLETE [8 bytes] ]
snort: [1:477:1] ICMP Source Quench [Classification: Potentially Bad Traffic] [Priority: 2]: 
        {ICMP} xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx


Dus eerst een melding van de kernel dat het pakketje weggegooid is en vervolgens een melding van snort op hetzelfde pakket |:(
Ik heb al verschillende forums doorlopen, de website van snort, etc, maar ik kan nergens vinden hoe ik dit gedrag kan veranderen. De enige suggestie is om snort op een andere machine te draaien. Maar dat wil ik niet, 1 machine 24/7 is voldoende ;)

Hoe kan ik het instellen dat snort deze pakketten niet meer ziet??

donderdag 10 april 2003 10:17

Acties:

Verwijderd

Voor zover ik weet kan dit niet. Snort luistert in promiscuous mode op je interface, en zal dus ook alle pakketten ontvangen die je stack ook ontvangt. Je zou ignore rules kunnen aanmaken voor alle rules die je ook in je packetfilter ruleset hebt staan.

[ Voor 6% gewijzigd door Verwijderd op 10-04-2003 10:17 ]

donderdag 10 april 2003 10:41

Acties:
  • Seth4Chaos
  • Registratie: Maart 2001
  • Niet online

Seth4Chaos

that's me...

mischien kan je proberen snort niet in promiscuous mode te laten luisteren maar zelf heb ik dit nooit geprobeerd omdat ik dit juist wel wil zien.

Mistakes are proof that you are trying...

donderdag 10 april 2003 11:11

Acties:

Verwijderd

En eventueel zou je nog het volgende kunnen doen (voor zover dit mogelijk is, ik heb het zelf nooit gedaan op zo'n manier (/me heeft een bridge met snort voor z'n firewall staan)):

code:
1
2
3

|ethx|-------|iptables|-------|userspace queue|------|snort|
                  |
                  +---|ethy|

ipv de standaard configuratie:
code:
1
2
3

|ethx|--------|iptables|------|ethy|
  |
  +--|snort|


Seth4Chaos: Als je snort niet in promisuous mode draait valt er weinig te sniffen lijkt me zo (daar is de promiscuous mode voor) :P

donderdag 10 april 2003 14:39

Acties:
  • [Yellow]
  • Registratie: December 2000
  • Niet online

[Yellow]

Topicstarter
Ik heb snort niet in promisuous mode staan (anders zeurt msec teveel ;) ), maar direct op eth0.

r3b00t: Hoe zou ik dat aan moeten pakken met iptables? Ik heb geen idee eigenlijk...Zou ik dan een soort van dummy ethY aan moeten maken ofzo?

donderdag 10 april 2003 14:52

Acties:

Verwijderd

De promiscuous mode heeft niets (directs) met snort te maken. Promisc is als je netwerkkaart alle pakketjes ontvangt die over de draad gaan in plaats van alleen de pakkettjes die puur voor jou netwerkkaart bestemt zijn. Als je direct op eth0 draait, dan zal snort automatisch je interface in promisc mode gooien. Geen idee of dit gedrag te veranderen is. (mijn default debian snort doet het namelijk wel, net zoals de snorts bij mij thuis (freebsd / openbsd))

Voor netfilter heb je een userspace queue. Dan kun je alle pakketten die door de packetfilter heen zijn naar userland sturen en door snort laten filteren. (er is een plugin voor snort als ik me niet vergis) Op dat moment heb je dus effectief eerst alles wat je niet wilt filteren met snort dmv netfilter rules geblocked en zou je dus ook af moeten zijn van die log entries. (al is het mij een raadsel waarom je dat zou willen doen hoor, des te meer log info, des te beter). Dmv google zijn bergen met netfilter userspace queueing docs te vinden ;)

[ Voor 11% gewijzigd door Verwijderd op 10-04-2003 14:55 ]

vrijdag 11 april 2003 11:57

Acties:
  • [Yellow]
  • Registratie: December 2000
  • Niet online

[Yellow]

Topicstarter
Ik start snort met de -p optie zodat ie niet in promiscuous mode luistert. Met -i vertel ik hem dat ie alleen op mijn externe interface moet luisteren. Volgens 'ip link list' staat hij niet in promiscuous mode, dus het zal wel werken :P

Ik zal eens gaan zoeken naar userspace queue's, want ik wil toch echt wel van die snort meldingen af. (Ze worden zowieso al gelogd door iptables, en doordat ik de gevaarlijke dingen er al uit filter zijn de meeste van die meldingen een beetje zinloos).

Bedankt voor alle tips.
Pagina: 1
Reageer