Случайные пакеты - это нормально?

Около месяца назад на одном из моих серверов я начал получать случайные пакеты с IP-адресов по всему миру. Поэтому я сделал умную вещь и перестал откладывать установку IDS. Этот IDS является шлюзом ClearOS, который поставляется с Snort и SnortSam. Я включил это и все классификации. Существует классификация "сканирования сети", что означает, что она должна обнаруживать сканирование портов и тому подобное.

Всего открыто 4 порта, два из которых направлены на сервер, о котором я говорю. Эти порты 3724 и 8085, поэтому их не будет легко обнаружить при сканировании портов.

Однако, проверив некоторые логи этого сервера, я обнаружил, что атака возобновляется. я нашел это

...
Accepting connection from '75.166.155.122'
[Auth] got unknown packet from '75.166.155.122'
Accepting connection from '98.164.154.93'
[Auth] got unknown packet from '98.164.154.93'
Ping MySQL to keep connection alive
Accepting connection from '70.241.195.129'
[Auth] got unknown packet from '70.241.195.129'
Accepting connection from '67.182.229.169'
[Auth] got unknown packet from '67.182.229.169'
Accepting connection from '69.137.140.38'
[Auth] got unknown packet from '69.137.140.38'
Accepting connection from '76.31.72.55'
[Auth] got unknown packet from '76.31.72.55'
Accepting connection from '97.88.139.39'
[Auth] got unknown packet from '97.88.139.39'
Accepting connection from '173.35.62.112'
[Auth] got unknown packet from '173.35.62.112'
Accepting connection from '187.15.10.73'
[Auth] got unknown packet from '187.15.10.73'
Accepting connection from '66.66.94.124'
[Auth] got unknown packet from '66.66.94.124'
Accepting connection from '75.159.219.124'
[Auth] got unknown packet from '75.159.219.124'
Accepting connection from '99.102.100.82'
[Auth] got unknown packet from '99.102.100.82'
Accepting connection from '24.128.240.45'
[Auth] got unknown packet from '24.128.240.45'
Accepting connection from '99.231.7.39'
[Auth] got unknown packet from '99.231.7.39'
Accepting connection from '206.255.79.56'
[Auth] got unknown packet from '206.255.79.56'
Accepting connection from '68.97.106.235'
[Auth] got unknown packet from '68.97.106.235'
Accepting connection from '69.134.67.251'
[Auth] got unknown packet from '69.134.67.251'
Accepting connection from '63.228.138.186'
[Auth] got unknown packet from '63.228.138.186'
Accepting connection from '184.39.146.193'
[Auth] got unknown packet from '184.39.146.193'
Accepting connection from '69.171.161.102'
[Auth] got unknown packet from '69.171.161.102'
Accepting connection from '76.0.47.228'
[Auth] got unknown packet from '76.0.47.228'
Ping MySQL to keep connection alive
Accepting connection from '126.112.201.14'
[Auth] got unknown packet from '126.112.201.14'
Ping MySQL to keep connection alive

Теперь это пугает меня. Почему Snort не обнаруживает это? Как им удалось найти этот конкретный порт?

Что еще более важно, что обычно содержат эти пакеты? Это то, что я должен беспокоиться? Как я могу это остановить?

Источник

1 ответ

Решение

Как и большинство IDS, Snort - очень сложная часть технологии и требует значительных усилий, чтобы начать приносить полезные результаты. Настройка требует как много времени, затраченного на анализ предупреждений, так и того, какие сервисы у вас есть, чтобы вы могли определить, какие наборы правил должны быть включены, а какие - отключены. Знание того, что вы заинтересованы в двух услугах, помогает определить, что может быть полезным для вас.

Просматривая как официальные правила SourceFire, так и сторонние EmergingThreats, единственное обнаруженное мной предупреждение касается совпадения успешных и неудачных попыток входа в World of Warcraft. Я бы начал с поиска на сайте правил SourceFire ваших сервисов. Вы также можете извлечь выгоду из чтения препроцессора sfPortscan в Руководстве.

К сожалению, я мало что знаю о ClearOS и о том, как они оборачивают управление приложением. Тем не менее, приложение snort на самом деле довольно легко читается, когда вы проходите через многословие.

Источник
Другие вопросы по тегам