Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1658 views
  • Users 0 members are here
Options
Suggested

[9.060][MYTH] IPS destination not showing

utm_kid
Hello ,

please check image 


2013:01:25-10:56:50 acenn snort[6091]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT SSH server detected on non-standard port" group="243" srcip="192.168.3.125" dstip="192.168.2.157" proto="6" srcport="5522" dstport="1447" sid="13586" class="Generic Protocol Command Decode" priority="3" generator="1" msgid="0" 


thanks
  • 0
    Hello utm_kid,

    in the column destination hosts you only see the count of the destination hosts.

    This is because for one source address there could be more than one destination host, so only the count of destinations make sense at this point.

    Best,

    Kofi
  • 0 in reply to kofi
    Hello utm_kid,


    This is because for one source address there could be more than one destination host, so only the count of destinations make sense at this point.

    Kofi


    Hello Kofi , 

    Sorry i don't understand  ,can you please explain to me again 
    with example 
    or can you explain me with this actual log entry in ips 

    2013:01:25-10:56:50 acenn snort[6091]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT SSH server detected on non-standard port" group="243" srcip="192.168.3.125" dstip="192.168.2.157" proto="6" srcport="5522" dstport="1447" sid="13586" class="Generic Protocol Command Decode" priority="3" generator="1" msgid="0" 


    thanks
  • 0
    Utm kid,
    Kofi provided you the correct answer for your image question. One source IP can have a number of destinations hosts (1, 2, 3, etc). 

    What parameters do you want to know from the log entry? [I think most entries make sense]
  • 0 in reply to Tinkerbell
    if you check at ips log where it show you src and dest both then why cant image show src and destination 

    as i provided in the log
  • 0 in reply to utm_kid
    2013:01:25-08:21:45 acenn snort[6038]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="PROTOCOL-ICMP Destination Unreachable Network Unreachable" group="410" srcip="192.168.7.100dstip="192.168.7.135" proto="1" srcport="0" dstport="0" sid="401" class="Misc activity" priority="3"  generator="1" msgid="0"

    2013:01:25-10:56:50 acenn snort[6091]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="APP-DETECT SSH server detected on non-standard port" group="243" srcip="192.168.3.125dstip="192.168.2.157" proto="6" srcport="5522" dstport="1447" sid="13586" class="Generic Protocol Command Decode" priority="3"  generator="1" msgid="0"

    if you look at this image here also it miss some thing but

    This is my last attempt  if you stil think its myth i have no problem 
  • 0
    You filtered for IPS action on "Source Hosts". You can have more than one action per source host. Therefore you will have the number of destination hosts and not one specific.

    In your first pricture you have 121 packets for your source host 192.168.3.125 going to 3 different destination hosts.
  • 0 in reply to snowcrash_01
    You filtered for IPS action on "Source Hosts". You can have more than one action per source host. Therefore you will have the number of destination hosts and not one specific.

    In your first pricture you have 121 packets for your source host 192.168.3.125 going to 3 different destination hosts.


    Hello snowcrash ,

    you are right (and i am left [:)])

    this is just for you info 

    there are 3 differant distinations like this 1 

    2013:01:23-12:04:22 acenn snort[13023]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="RPC portmap NFS request TCP" group="110" srcip="192.168.3.125" dstip="192.168.5.125" proto="6" srcport="33664" dstport="111" sid="1960" class="Decode of an RPC Query" priority="2"  generator="1" msgid="0"

    now lets not "waste time on that "