Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2556 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Prevention????

coolrunner
Hi,

I got a number of attacks like:
WEB-PHP PayPal Storefront arbitrary command execution attempt

So I wanted to drop the connection when snort detects this alert. I modified the IPS rulebase to drop the connection when an alert comes through.
But nothing happens. I can visit the website normaly and I still get the alert massage from snort.
What did I wrong?
Why the connection deosn´t drop??

Thanks for responses!


This thread was automatically locked due to age.
Parents
  • 0
    The Snort Inline module will alert on either an alert rule or a drop rule. This behavior is normal.
    The Snort inline engine drops the offending packets allowing non-attack traffic through. It doesn't use the RESET (REJECT, oops) function included in the active response function of normal Snort which would cause the whole connection to reset.
    Can you verify that the actual attack is getting through to the web server? That would be the real indicator. If you can show that a DROP rule triggered an alert yet still allowed the traffic to pass, you'd have one hell of a bug there. If this was confirmed, I'd run screaming from ASL-IPS as fast as I could.
Reply
  • 0
    The Snort Inline module will alert on either an alert rule or a drop rule. This behavior is normal.
    The Snort inline engine drops the offending packets allowing non-attack traffic through. It doesn't use the RESET (REJECT, oops) function included in the active response function of normal Snort which would cause the whole connection to reset.
    Can you verify that the actual attack is getting through to the web server? That would be the real indicator. If you can show that a DROP rule triggered an alert yet still allowed the traffic to pass, you'd have one hell of a bug there. If this was confirmed, I'd run screaming from ASL-IPS as fast as I could.
Children
No Data