Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 1321 views
  • Users 0 members are here
Options
Suggested

[7.865][QUESTION][ANSWERED] ipv6 using utils gives false positive

utm_kid
Hello Fiends !

today 1st time i got ips alert 

trying many ipv6 utils to check so really dont know when this message came and notice very late 

i have added 3653 rule in pf for UDP AND TCP  gor gogo (ipv6 client)

2010:02:02-17:25:15 acenn snort[6066]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="MISC UPnP Location overflow attempt" group="450" srcip="81.171.72.13" dstip="192.168.2.150" proto="17" srcport="3653" dstport="1797" sid="1388" class="Misc Attack" priority="2" generator="1" msgid="0" 

or it was really .....
Parents
  • 0
    a quick google search suggested that that's caused by the gogo6 client itself, which is not behaving nicely. I really prefer snort to be awake and vigilant rather than missing an upnp attack.

    Please try to reproduce this issue by restarting the gogo6 client as often as you can and see if i'm right.
  • 0 in reply to kbr
    Ok !

    i am trying this but at same time can we use tcpdump to check packet ?

    can u please tell me how do i collect packet from 1 specifc ip   i was able to see there was more traffic /counts from 81.x.x.x ip 

    thanks

    update ::i saw very frequent packets from that ip (in bandwidth monitor it always 76 byte ?) but ips say count only 1

    update:[:P]ls check image and i think in 1/2 mints i have that ip in my bandwidth monitor so i check its not utils  title need to be modified
  • 0 in reply to utm_kid
    ... can we use tcpdump to check packet ? ...
    tell me how do i collect packet from 1 specifc ip  ... 


    adapt this to your specific needs: 

    tcpdump -n -q -i eth0 -w /path/to/dump/file.pcap -s 0 -p host 1.2.3.4
Reply Children
Cookie Information Banner