Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1359 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Could you tell me what trigger snort

narna4ever
Is - in a common easy way [:)] 

And could you in that same reply tell me if something about this? 

2014:05:14-23:29:45 luna-1 ulogd[5334]: id="2104" severity="info" sys="SecureNet" sub="ips" name="ICMP flood detected" action="ICMP flood" fwrule="60014" initf="eth4" srcmac="0:50:56:b9:3b:7f" dstmac="0:1a:8c:f0:25:84" srcip="172.24.2.153" dstip="172.24.0.36" proto="1" length="44" tos="0x00" prec="0x00" ttl="255" type="8" code="0"

Could this be an issue of slow network? 

Regards


This thread was automatically locked due to age.
  • 0
    For 9.111-7:
    WebAdmin>Network Protection>Anti-DoS/Flooding>ICMP Flood Protection

    As for the slow network: maybe, maybe not - certainly a reasonable starting point for troubleshooting (along with other logs).
  • 0
    thanx... 

    tried to shut down all thre in 3, but  no such luck [:)]
  • 0
    I'm not suggesting the log lines are the problem but that the log lines indicate the system is detecting "too many" (based on configured values) ICMP packets from a particular source or to a particular destination per second.  A high volume of ICMP packets per second may be the cause (primary or contributing) or a symptom of your slow network performance.

    Disabling ICMP Flood protection didn't stop those log lines?

    172.24.2.153 and 172.24.0.36 are both on your networks?  Have you looked at those systems or the traffic (ICMP and otherwise) between them and the path through your network from host to host?
  • 0
    It did not stop the lines no. 

    And yes. Both ip-address are on my network. One is server, other computers. 

    But no, I have not bee looking at the traffic between them.
    What do you mean buy the the path through mine network from host to host? [:)]
  • 0
    snort is not what throttles ICMP and generates those log lines (iptables instead).

    The path through the network: cables/switches/routers from host to host.

    I am not understanding the problem you are trying to solve - can you restate the specific problem(s) and how it compares to your expectations?