Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2976 views
  • Users 0 members are here
Options
Suggested

[8.161][BUG][FIXED] ips

wingman
Hi All

I am getting the message below and not sure what it is to be honest 

2011:03:16-08:15:09 *** snort[7399]: S5: Session exceeded configured max bytes to queue 1048576 using 1048632 bytes (server queue). 86.141.69.209 52244 --> 46.137.1.141 5205 : LWstate 0x9 LWFlags 0x6007


Also I got few port scan which were not reported (i wasn't sure if this was reported-apologies for that!) 

2011:03:18-00:32:27 **** ulogd[5225]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" srcip="58.218.199.147" dstip="81.153.173.93" proto="6" length="40" tos="0x00" prec="0x00" ttl="110" srcport="12200" dstport="80" tcpflags="SYN" 


Thanks
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.161

    Type: BUG

    State: MERGED/FIXED

    Reporter: wingman+

    Contributor: 

    MantisID: 17182

    Target version: 8.165

    Fixed in version: 8.165

    --------------------------------
  • 0
    Hi wingman,

    I am getting the message ...


    This message is example for additional information that the snort daemon writes to the logs, just to make sure. You can simply ignore this message, as long as you do not experience any "real" problems. If there were any real problems, this warning might give us a hint where to look, but if there are no problems, this is just informational.



    Also I got few port scan which were not reported ...


    What exactly do you mean by "not reported"? Are they missing from the monthly reports or do you miss the notification or what?

    Cheers,
    Kai
  • 0 in reply to kbr
    Hi wingman,



    This message is example for additional information that the snort daemon writes to the logs, just to make sure. You can simply ignore this message, as long as you do not experience any "real" problems. If there were any real problems, this warning might give us a hint where to look, but if there are no problems, this is just informational.

    Thanks for the info. No real issue at the moment but I will keep monitoring [:)]




    What exactly do you mean by "not reported"? Are they missing from the monthly reports or do you miss the notification or what?

    Cheers,
    Kai


    I would expect the port scan to be on the daily report/weekly report and on the relevant report on the ASG (network security>> IPS)

    I've confirmed by using "Shields up" service and there is nothing on the ASG (I can see the blocks on the live log though)
  • 0
    were you able to confirm the above kai regarding IPS reporting ?
  • 0
    Hi wingman,

    as for the Port Scan detection: this is not triggered by the snort, but instead by - believe it or not - iptables as far as I know. 

    Hence it might well be that the reporting only takes Snort IDs into account, but not these self-generated iptables alerts. Would be interesting if DoS attacks are reported, as they're probably also not handled by the Snort engine.

    Just a wild, semi-informed (and hence specially dangerous) guess
    Christian
  • 0 in reply to wingman
    Hi Wingman,


    I would expect the port scan to be on the daily report/weekly report and on the relevant report on the ASG (network security>> IPS)


    This has been subject to some discussion we've already had in earlier versions. Attacks detected by the Portscan/DOS/Flooding detection are logged in ips.log, but are not visible in IPS reporting (i.e. Reporting >> Network Security >> IPS). This is tracked as a feature request since last year.

    What's more interesting to me is, do you get notifications for these portscans? If not, i'd like to tag this thread with another Mantis-ID related to the notifier.

    Cheers,
    Kai
  • 0
    Hi Kai

    I've also run " security space no risk report " and "Single Test 11834: Source routed packets" from security space website and so far no email alert has been generated.

    I can see the logs on the ips(live log) , I can see the specified ip in the "Top dropped source hosts" but no aler was generated. I have the relevant notifications turned on
  • 0
    Then i'll add this to Mantis ID 17182, where we are trying to convince the notifier the  work a little more robust [;)]
  • 0
    just to confirm if that's part of the same Mantis ID 17182, I am not getting any email alerts or any counters increase on the dashboard counter for IPS when running " security space no risk report " and "Single Test 11834: Source routed packets" reports (including DOS reports)

    for example 

    2011:03:24-12:37:15 ***snort[14171]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="" reason="(smtp) Attempted specific command buffer overflow: AUTH, 379 chars" group="0" srcip="69.28.227.215" dstip="81.153.173.93" proto="6" srcport="60148" dstport="25" sid="0" class="Attempted Administrator Privilege Gain" priority="1" generator="124" msgid="1" 
     is not shown

    There is nothing in the "Admin notifications" log as well
  • 0 in reply to wingman
    ... There is nothing in the "Admin notifications" log as well


    and that's exactly why i've tagged it to 17182 [;)]
Cookie Information Banner