Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 6001 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DOUBLE DECODING ATTACK: Outgoing Trafiic very high?

ananda_01
Hi, 

i my outgoing traffic is very high (192 Kbit at Upstream with 192 KBit).
In ips-log i have found following messages:

2006:08:25-09:32:08 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39426 -> 208.67.66.11:80
2006:08:25-09:32:09 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39356 -> 212.23.33.23:80
2006:08:25-09:35:35 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39670 -> 208.67.66.11:80
2006:08:25-09:35:36 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39356 -> 212.23.33.23:80
2006:08:25-09:35:40 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39685 -> 208.67.66.11:80
2006:08:25-09:35:41 (none) snort[858]: [119:2:1] (http_inspect) DOUBLE DECODING ATTACK  {PROTO006} 84.162.205.50:39356 -> 212.23.33.23:80

My System: Astaro 5.2x
The IP 84.162.205.50 is my own address.

Can someone explain what this message means?
Did someone attack me or i have a problem with my configuration? 

ananda


This thread was automatically locked due to age.
Parents
  • 0
    That is a bug that has been fixed in 6.300 or 6.301, I believe... not sure what build of 5.x fixes this.. they added the ability for the Cobion DB access to be done via port 80, but snort notices that this is not a real http access request, hence the error.. an easy way to check is to temporarily turn OFF content filtering, I'll bet the errors go away.  If you are running the latest version of 5.x, consider upgrading to 6.302 or contact Astaro Support.

    Edited... I meant turn OFF....
Reply
  • 0
    That is a bug that has been fixed in 6.300 or 6.301, I believe... not sure what build of 5.x fixes this.. they added the ability for the Cobion DB access to be done via port 80, but snort notices that this is not a real http access request, hence the error.. an easy way to check is to temporarily turn OFF content filtering, I'll bet the errors go away.  If you are running the latest version of 5.x, consider upgrading to 6.302 or contact Astaro Support.

    Edited... I meant turn OFF....
Children