/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
IDS- Intrusion Detection System i router.
Fra : Moojundai


Dato : 18-04-04 15:10

Hej gruppe

I går prøvede jeg at slå IDS til på min router, og i dag kiggede jeg så for
at se hvad der var i loggen. Sikke dog jeg har haft besøg ifølge den.

En del vira som man nu kan forvente, men jeg er overrasket over hvor mange
portscans mv. der er kommet på så kort tid (05:51 - 12:30 i dag).

Hvis man slår dem op vha IP adressen, så har i hvertfald den ene udbyder en
abuse adresse, og den nævnes i forbindelse med portscanning.

Skal man reagere, skrive til deres abuse, eller bare lade som ingen ting?

Mvh M!

IDS snort log
Date: 18 April

Date: 04/18 05:51:18
Name: MS-SQL Worm propagation attempt
Priority: 2
Type: Misc Attack
IP Info: 80.119.168.137:2166 -> min.ip.adr.esse:1434
Refs:
http://vil.nai.com/vil/content/v_99992.htm,http://www.securityfocus.com/bid/5311,http://www.securityfocus.com/bid/5310,

Date: 04/18 07:10:47
Name: spp_portscan: PORTSCAN DETECTED from 80.108.18.238 (THRESHOLD 4
connections exceeded in 0 seconds)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 07:10:56
Name: spp_portscan: portscan status from 80.108.18.238: 5 connections across
1 hosts: TCP(5), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 07:25:16
Name: MS-SQL Worm propagation attempt
Priority: 2
Type: Misc Attack
IP Info: 168.243.107.12:1844 -> min.ip.adr.esse:1434
Refs:
http://vil.nai.com/vil/content/v_99992.htm,http://www.securityfocus.com/bid/5311,http://www.securityfocus.com/bid/5310,

Date: 04/18 07:29:26
Name: spp_portscan: portscan status from 80.108.18.238: 1 connections across
1 hosts: TCP(1), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 07:29:34
Name: spp_portscan: End of portscan from 80.108.18.238: TOTAL time(9s)
hosts(1) TCP(6) UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 07:30:04
Name: MS-SQL Worm propagation attempt
Priority: 2
Type: Misc Attack
IP Info: 140.137.211.52:1206 -> min.ip.adr.esse:1434
Refs:
http://vil.nai.com/vil/content/v_99992.htm,http://www.securityfocus.com/bid/5311,http://www.securityfocus.com/bid/5310,

Date: 04/18 07:31:39
Name: MS-SQL Worm propagation attempt
Priority: 2
Type: Misc Attack
IP Info: 172.193.41.246:3654 -> min.ip.adr.esse:1434
Refs:
http://vil.nai.com/vil/content/v_99992.htm,http://www.securityfocus.com/bid/5311,http://www.securityfocus.com/bid/5310,

Date: 04/18 09:04:57
Name: spp_portscan: PORTSCAN DETECTED from 80.196.118.141 (THRESHOLD 4
connections exceeded in 0 seconds)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:05:01
Name: spp_portscan: portscan status from 80.196.118.141: 9 connections
across 1 hosts: TCP(9), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:05:07
Name: spp_portscan: portscan status from 80.196.118.141: 1 connections
across 1 hosts: TCP(1), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:09:46
Name: spp_portscan: End of portscan from 80.196.118.141: TOTAL time(10s)
hosts(1) TCP(10) UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:24:02
Name: ICMP PING NMAP
Priority: 2
Type: Attempted Information Leak
IP Info: 65.75.144.210:n/a -> min.ip.adr.esse:n/a
Refs: http://www.whitehats.com/info/IDS162,

Date: 04/18 09:48:27
Name: spp_portscan: PORTSCAN DETECTED from 80.111.88.207 (THRESHOLD 4
connections exceeded in 0 seconds)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:50:21
Name: spp_portscan: portscan status from 80.111.88.207: 5 connections across
1 hosts: TCP(5), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 09:55:02
Name: spp_portscan: End of portscan from 80.111.88.207: TOTAL time(0s)
hosts(1) TCP(5) UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 10:19:53
Name: ICMP PING CyberKit 2.2 Windows
Priority: 3
Type: Misc activity
IP Info: 80.195.94.119:n/a -> min.ip.adr.esse:n/a
Refs: http://www.whitehats.com/info/IDS154,

Date: 04/18 11:40:21
Name: MS-SQL Worm propagation attempt
Priority: 2
Type: Misc Attack
IP Info: 222.1.0.172:1725 -> min.ip.adr.esse:1434
Refs:
http://vil.nai.com/vil/content/v_99992.htm,http://www.securityfocus.com/bid/5311,http://www.securityfocus.com/bid/5310,

Date: 04/18 11:59:50
Name: spp_portscan: PORTSCAN DETECTED from 80.110.54.111 (THRESHOLD 4
connections exceeded in 0 seconds)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 11:59:54
Name: spp_portscan: portscan status from 80.110.54.111: 5 connections across
1 hosts: TCP(5), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 12:00:00
Name: spp_portscan: portscan status from 80.110.54.111: 4 connections across
1 hosts: TCP(4), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 12:00:45
Name: spp_portscan: portscan status from 80.110.54.111: 4 connections across
1 hosts: TCP(4), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 12:01:54
Name: spp_portscan: End of portscan from 80.110.54.111: TOTAL time(10s)
hosts(1) TCP(13) UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 12:30:45
Name: ICMP PING CyberKit 2.2 Windows
Priority: 3
Type: Misc activity
IP Info: 80.195.94.119:n/a -> min.ip.adr.esse:n/a
Refs: http://www.whitehats.com/info/IDS154,

Date: 04/18 12:51:21
Name: spp_portscan: PORTSCAN DETECTED from 80.196.0.161 (THRESHOLD 4
connections exceeded in 0 seconds)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:

Date: 04/18 12:54:54
Name: spp_portscan: portscan status from 80.196.0.161: 9 connections across
1 hosts: TCP(9), UDP(0)
Priority: n/a
Type: n/a
IP Info: n/a:n/a -> n/a:n/a
Refs:





 
 
Kasper Dupont (18-04-2004)
Kommentar
Fra : Kasper Dupont


Dato : 18-04-04 16:09

Moojundai wrote:
>
> Hvis man slår dem op vha IP adressen, så har i hvertfald den ene udbyder en
> abuse adresse, og den nævnes i forbindelse med portscanning.
>
> Skal man reagere, skrive til deres abuse, eller bare lade som ingen ting?

Det nemmeste er at lade som ingenting. Husk på, at så
længe, der blot bliver scannet og ikke bliver etableret
nogen forbindelser, så kan du ikke være helt sikker på,
hvor scanningen sker fra. Den IP adresse, du ser, kan
være spoofet.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Christian E. Lysel (18-04-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-04 17:13

In article <40828da1$0$216$edfadb0f@dread16.news.tele.dk>, Moojundai wrote:
> I går prøvede jeg at slå IDS til på min router, og i dag kiggede jeg så for
> at se hvad der var i loggen. Sikke dog jeg har haft besøg ifølge den.

Hvilken router er det du bruger?

Jeg kan se producenten bruger Snort som IDS, du
bør passe på med at lade Snort kører på en firewall,
da der igennem tiden har været mange sikkerhedshuller
i Snort. Således vil det være nemmere at angribe din
installation hvis du kører Snort på din firewall.

Hvis du endeligt vil kører Snort, vil jeg anbefalde dig
at kører den på en måde hvor maskinen ikke kan
komprimitere resten af din sikkerhed, hvis maskine
bliver komprimiteret.

Et eksempel kan være: I OpenBSD kan du fx få pf (packet filter)
til at dumpe ud i tcpdump formatet, som kan streames over i
Snort der kører på en selvstændig isoleret maskine.

I pf kan du selv vælge hvad der skal dumpes, fx at de kun er
ikke tilladt trafik, eller trafik til et fiktivt netværk.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Kasper Dupont (18-04-2004)
Kommentar
Fra : Kasper Dupont


Dato : 18-04-04 17:27

"Christian E. Lysel" wrote:
>
> Hvis du endeligt vil kører Snort, vil jeg anbefalde dig
> at kører den på en måde hvor maskinen ikke kan
> komprimitere resten af din sikkerhed, hvis maskine
> bliver komprimiteret.

F.eks. ved at køre IDS på en maskine lige foran
firewallen?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Christian E. Lysel (18-04-2004)
Kommentar
Fra : Christian E. Lysel


Dato : 18-04-04 20:13

In article <4082AC48.5F5AF587@daimi.au.dk>, Kasper Dupont wrote:
> F.eks. ved at køre IDS på en maskine lige foran
> firewallen?

Det er der delte meninger om.

Nogle arguementere imod, da man vil få for meget støj,
andre argumentere for, da man få et indtryk af hvad ens
firewall har "rettet" en for.

Personligt, kan jeg ikke se fornuften i et NIDS, hvis man
ikke læser sine logfiler fra de forskellige
komponenter man har i forvejen.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

Stig Johansen (19-04-2004)
Kommentar
Fra : Stig Johansen


Dato : 19-04-04 01:48

Christian E. Lysel wrote:

> In article <4082AC48.5F5AF587@daimi.au.dk>, Kasper Dupont wrote:
>> F.eks. ved at køre IDS på en maskine lige foran
>> firewallen?
>
> Det er der delte meninger om.
>
> Nogle arguementere imod, da man vil få for meget støj,
> andre argumentere for, da man få et indtryk af hvad ens
> firewall har "rettet" en for.

<hint>
'Man' har set eksempler på større løsninger, hvor man syntes, det var en god
ide, at benytte NAT/PAT-router som frontend(grovfilter) til FW'erne.
</hint>

--
Med venlig hilsen
Stig Johansen

Kasper Dupont (19-04-2004)
Kommentar
Fra : Kasper Dupont


Dato : 19-04-04 06:16

Stig Johansen wrote:
>
> Christian E. Lysel wrote:
>
> > In article <4082AC48.5F5AF587@daimi.au.dk>, Kasper Dupont wrote:
> >> F.eks. ved at køre IDS på en maskine lige foran
> >> firewallen?
> >
> > Det er der delte meninger om.
> >
> > Nogle arguementere imod, da man vil få for meget støj,
> > andre argumentere for, da man få et indtryk af hvad ens
> > firewall har "rettet" en for.

Hvis den primært holder øje med den udgående
trafik ville du vel ikke få for meget støj.

>
> <hint>
> 'Man' har set eksempler på større løsninger, hvor man syntes, det var en god
> ide, at benytte NAT/PAT-router som frontend(grovfilter) til FW'erne.
> </hint>

Det kunne jeg også have fundet på. I så fald
får din firewall nok ikke ret meget at loge.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Kent Friis (18-04-2004)
Kommentar
Fra : Kent Friis


Dato : 18-04-04 17:31

Den Sun, 18 Apr 2004 16:09:49 +0200 skrev Moojundai:
> Hej gruppe
>
> I går prøvede jeg at slå IDS til på min router, og i dag kiggede jeg så for
> at se hvad der var i loggen. Sikke dog jeg har haft besøg ifølge den.
>
> En del vira som man nu kan forvente, men jeg er overrasket over hvor mange
> portscans mv. der er kommet på så kort tid (05:51 - 12:30 i dag).

IDS betyder Intrusion Detection System. Altså et system der skal opdage
(detect) når der er kommen noget ind på dit netværk (intrusion). For
at kunne køre det, skal det nødvendigvis lytte på dit netværk, og ikke
på internettet. Sætter man den til at lytte på internettet, vil den
logisk fange utrolig meget trafik, for der er mange der er "kommet ind
på" internettet. Faktisk såmange at TDC, Tiscali, Cybercity m.fl.
tjener bunker af penge på det.

(For at være helt præcis, er det et network intrusion detection
system (NIDS). Et host intrution detection system vil kigge på om
der foregår noget på host'en der ikke burde. Processer der ikke
burde køre, filer der bliver ændret osv).

Et IDS er ikke en firewall log.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste