> > - (spp_stream4) STEALTH ACTIVITY (unknown) detection
> J'ai la même config.
> En fait, les alertes snort que tu décris signifient
> 1) Je ne sais pas ;-)
En fait, l'intrus joue avec les flags TCP (SYN, ACK, RST, etc...)
afin de faire réagir bizarrement ta machine, dans l'espoir que celle-ci
finisse par répondre quelque chose. Et donc par la même, de révéler sa
présence, ce en quoi l'intrus gagne au moins une manche...
Là, l'outil d'analyse (vraisemblablement SNORT) indique qu'il ne
reconnaît pas la technique de scan. Mais qu'il y a bien un scan, et donc
que quelqu'un a voulu jeter un oeil sur ton adresse IP...
Si tu utilises une adresse IP dynamique, ou que tu as une adresse
IP fixe et que tu as coupé ton soft de P2P, cela peut aussi être la cause
d'autres clients P2P, qui tentent de se connecter à une ancienne source...
Dans ce cas, là, la multitude de connexions venant d'origines différentes,
et à destination d'un ou de plusieurs ports de ta machine, peut être pris
par SNORT pour un scan utilisant plusieurs "leurres" ("nmap" fait cela
très bien).
Plus d'infos ici : http://www.cgsecurity.org/Articles/sotm23/
Olivier
