Hervé de Dianous wrote:
> StephaneK wrote:
>
>>
>> J'ai aussi plein de packets bizarres.
>> Avec une config firewall simpliste, ouverte seulement pour mldonkey
>> sur 4662/tcp et 4666/udp j'ai les alertes Snort suivantes (install
>> snort presque par defaut):
>>
>> http://reboot.online.fr/acid.gif
>
>
> Comment as-tu produit cette sortie html de de Snort ?
>
C'est ACID (Analysis Console for Intrusion Databases)
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
Snort log les alertes dans une database (mysql,postgres,ms sql ou meme
odbc), et acid est un frontend php qui consulte la database.
L'ensemble (linux+snort+mysql+acid) est très efficace. Je l'ai utilisé
sur un très gros réseau pendant quelques jours pour detecter entre
autres les machines infectées le ver velchia. Meme avec plusieurs
dizaines de milliers d'alertes dans la database la consultation via ACID
était rapide (sur un P3).
Ceci dit avec mldonkey sur 1 PC chez moi il y a beaucoup plus de traffic
"poubelle" et je ne sais toujours pas d'où ca vient :)
Stephane