Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 3672 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IDS alert confusion

SalishSwede
Take a look at the following four alerts from my ASL 5.203 system

2005:06:02-01:43:06 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 38.113.220.8:80 -> 24.41.50.233:58338
2005:06:02-01:43:36 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 64.236.44.54:80 -> 24.41.50.233:58481
2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301
2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301

It appears that one of the following is true:
1) The source of attcks is randomly alternated between the address of the application proxy (ASL) & the true source IP address of the attacker.
2) ASL has been compromised and in fact, the ASL firewall is the source of an attack.

Can someone help me figure this out?


This thread was automatically locked due to age.
Parents
  • 0
    005:06:02-01:43:06 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 38.113.220.8:80 -> 24.41.50.233:58338
    2005:06:02-01:43:36 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 64.236.44.54:80 -> 24.41.50.233:58481
    2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301
    2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301

    Hi,

    your internal client (10.1.1.5) requested a site (38.113.220.8:80)
    via proxy (10.1.1.2:8080). The target is a blank server (or has virtual domains on it, at least I just got a blank site if I enter the IP). Its a high chance, that both alerts are false positives. 

    By the way, both packets where droped. Thats the D before the name of the attack.

    Chris
Reply
  • 0
    005:06:02-01:43:06 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 38.113.220.8:80 -> 24.41.50.233:58338
    2005:06:02-01:43:36 (none) snort[12534]: [1:2925:0] D INFO web bug 0x0 gif attempt [Classification: Misc activity] [Priority: 3]:  {PROTO006} 64.236.44.54:80 -> 24.41.50.233:58481
    2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301
    2005:06:02-02:00:50 (none) snort[12534]: [1:1199:0] D WEB-MISC Compaq Insight directory traversal [Classification: Web Application Attack] [Priority: 1]:  {PROTO006} 10.1.1.2:8080 -> 10.1.1.5:2301

    Hi,

    your internal client (10.1.1.5) requested a site (38.113.220.8:80)
    via proxy (10.1.1.2:8080). The target is a blank server (or has virtual domains on it, at least I just got a blank site if I enter the IP). Its a high chance, that both alerts are false positives. 

    By the way, both packets where droped. Thats the D before the name of the attack.

    Chris
Children
No Data