Re: question firwall

Page principale

Répondre à ce message
Auteur: Olivier_Allard-Jacquin
Date:  
À: guilde
Sujet: Re: question firwall
> > - (spp_stream4) STEALTH ACTIVITY (unknown) detection

> J'ai la même config.
> En fait, les alertes snort que tu décris signifient
> 1) Je ne sais pas ;-)


        En fait, l'intrus joue avec les flags TCP (SYN, ACK, RST, etc...) 
afin de faire réagir bizarrement ta machine, dans l'espoir que celle-ci 
finisse par répondre quelque chose. Et donc par la même, de révéler sa 
présence, ce en quoi l'intrus gagne au moins une manche...


        Là, l'outil d'analyse (vraisemblablement SNORT) indique qu'il ne 
reconnaît pas la technique de scan. Mais qu'il y a bien un scan, et donc 
que quelqu'un a voulu jeter un oeil sur ton adresse IP...


        Si tu utilises une adresse IP dynamique, ou que tu as une adresse 
IP fixe et que tu as coupé ton soft de P2P, cela peut aussi être la cause 
d'autres clients P2P, qui tentent de se connecter à une ancienne source... 
Dans ce cas, là, la multitude de connexions venant d'origines différentes, 
et à destination d'un ou de plusieurs ports de ta machine, peut être pris 
par SNORT pour un scan utilisant plusieurs "leurres" ("nmap" fait cela 
très bien).


        Plus d'infos ici : http://www.cgsecurity.org/Articles/sotm23/


                                                                Olivier