Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 2978 views
  • Users 0 members are here
Options
Suggested

[8.161][BUG][FIXED] ips

wingman
Hi All

I am getting the message below and not sure what it is to be honest 

2011:03:16-08:15:09 *** snort[7399]: S5: Session exceeded configured max bytes to queue 1048576 using 1048632 bytes (server queue). 86.141.69.209 52244 --> 46.137.1.141 5205 : LWstate 0x9 LWFlags 0x6007


Also I got few port scan which were not reported (i wasn't sure if this was reported-apologies for that!) 

2011:03:18-00:32:27 **** ulogd[5225]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" initf="ppp0" srcip="58.218.199.147" dstip="81.153.173.93" proto="6" length="40" tos="0x00" prec="0x00" ttl="110" srcport="12200" dstport="80" tcpflags="SYN" 


Thanks
Parents
  • 0
    Hi wingman,

    as for the Port Scan detection: this is not triggered by the snort, but instead by - believe it or not - iptables as far as I know. 

    Hence it might well be that the reporting only takes Snort IDs into account, but not these self-generated iptables alerts. Would be interesting if DoS attacks are reported, as they're probably also not handled by the Snort engine.

    Just a wild, semi-informed (and hence specially dangerous) guess
    Christian
Reply
  • 0
    Hi wingman,

    as for the Port Scan detection: this is not triggered by the snort, but instead by - believe it or not - iptables as far as I know. 

    Hence it might well be that the reporting only takes Snort IDs into account, but not these self-generated iptables alerts. Would be interesting if DoS attacks are reported, as they're probably also not handled by the Snort engine.

    Just a wild, semi-informed (and hence specially dangerous) guess
    Christian
Children
No Data
Cookie Information Banner