Re: BAD TRAFFIC loopback traffic

> ho trovato molta documentazione su internet, anche post su questa stessa
> lista, ma nutro ancora forti dubbi.

Tipo?

> Uso debian stable, qualcuno suggerisce di commentare la regole in modo
> da non avere scocciature, io penso sia sbagliato.

Dipende, ovviamente, dal perche' usi snort. Ma che scocciature ti potra'
mai dare?

> spp_bo: Back Orifice Traffic detected (key: 31337)   

Il preprocessore spp_bo e' soggetto a falsi positivi ma il fatto che la
chiave di XOR sia 31337 direi che riduce questa probabilita' a zero. Il
datagramma incriminato, quindi, e' estremamente probabile che fosse una
richiesta da parte d'un client a un server bo. Ne piu' ne meno di cio'.
Leggasi: potrebbe essere un semplicissimo sweep alla ricerca di server.
Soprattutto se l'host di destinazione era la tua debian :-)

> devo allarmarmi?

Dipende. Io direi di no, anche se non hai fornito molte informazioni su
cui basare una stima.
 
> dove e' possibile documentarsi in modo piu' approfondito su queste due
> signatures?

Per il primo problema:

http://www.snort.org/cgi-bin/sigs-search.cgi

ci sono tre parti attive di tuo interese: By SID, BY Message ed il link
immediatamente sotto :-)

Per il preprocessore spp_bo le uniche fonti AFAIK sono il sorgente C ed
il libro "Snort 2.0" edito da syngress book di cui, per tua fortuna, e'
stato messo on line un sample chapter in pdf proprio sui preprocessori,
che dovresti poter trovare con una breve ricerca (non ho un link).


Fabio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List