Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2978 views
  • Users 0 members are here
Options
Suggested

[8.161][BUG][FIXED] ips

wingman
Hi All

I am getting the message below and not sure what it is to be honest 

2011:03:16-08:15:09 *** snort[7399]: S5: Session exceeded configured max bytes to queue 1048576 using 1048632 bytes (server queue). 86.141.69.209 52244 --> 46.137.1.141 5205 : LWstate 0x9 LWFlags 0x6007


Also I got few port scan which were not reported (i wasn't sure if this was reported-apologies for that!) 

2011:03:18-00:32:27 **** ulogd[5225]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" srcip="58.218.199.147" dstip="81.153.173.93" proto="6" length="40" tos="0x00" prec="0x00" ttl="110" srcport="12200" dstport="80" tcpflags="SYN" 


Thanks
Parents
  • 0
    Hi wingman,

    I am getting the message ...


    This message is example for additional information that the snort daemon writes to the logs, just to make sure. You can simply ignore this message, as long as you do not experience any "real" problems. If there were any real problems, this warning might give us a hint where to look, but if there are no problems, this is just informational.



    Also I got few port scan which were not reported ...


    What exactly do you mean by "not reported"? Are they missing from the monthly reports or do you miss the notification or what?

    Cheers,
    Kai
  • 0 in reply to kbr
    Hi wingman,



    This message is example for additional information that the snort daemon writes to the logs, just to make sure. You can simply ignore this message, as long as you do not experience any "real" problems. If there were any real problems, this warning might give us a hint where to look, but if there are no problems, this is just informational.

    Thanks for the info. No real issue at the moment but I will keep monitoring [:)]




    What exactly do you mean by "not reported"? Are they missing from the monthly reports or do you miss the notification or what?

    Cheers,
    Kai


    I would expect the port scan to be on the daily report/weekly report and on the relevant report on the ASG (network security>> IPS)

    I've confirmed by using "Shields up" service and there is nothing on the ASG (I can see the blocks on the live log though)
Reply
  • 0 in reply to kbr
    Hi wingman,



    This message is example for additional information that the snort daemon writes to the logs, just to make sure. You can simply ignore this message, as long as you do not experience any "real" problems. If there were any real problems, this warning might give us a hint where to look, but if there are no problems, this is just informational.

    Thanks for the info. No real issue at the moment but I will keep monitoring [:)]




    What exactly do you mean by "not reported"? Are they missing from the monthly reports or do you miss the notification or what?

    Cheers,
    Kai


    I would expect the port scan to be on the daily report/weekly report and on the relevant report on the ASG (network security>> IPS)

    I've confirmed by using "Shields up" service and there is nothing on the ASG (I can see the blocks on the live log though)
Children
  • 0 in reply to wingman
    Hi Wingman,


    I would expect the port scan to be on the daily report/weekly report and on the relevant report on the ASG (network security>> IPS)


    This has been subject to some discussion we've already had in earlier versions. Attacks detected by the Portscan/DOS/Flooding detection are logged in ips.log, but are not visible in IPS reporting (i.e. Reporting >> Network Security >> IPS). This is tracked as a feature request since last year.

    What's more interesting to me is, do you get notifications for these portscans? If not, i'd like to tag this thread with another Mantis-ID related to the notifier.

    Cheers,
    Kai
Cookie Information Banner