Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Log Flood with 7.501

npepper
Ok, so I just upgraded to the 7.5 versions last week, and from what I have been reading the IPS is a little bit different.  Ever since the upgrade I have been filling my log files with 15 Gb of the same message and I am not sure how to disable this particular rule, I though I was on the right track but apparently not.  Here is the log entry:

2009:11:19-20:39:12 aiku_asg snort[12667]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="10.1.1.91" dstip="10.1.1.91" proto="6" srcport="50359" dstport="51413" sid="200012" class="" priority="0"  generator="1" msgid="0"

I went to the Network Security -> IPS -> Advanced tab and manually modified rule 200012 (per the SID in the message) and disabled logging.  That didn't work, so I disabled the rule completely, and it still is logged.  Maybe I am using the wrong ID Number?  Should I be using 2101?

BTW, the computer IP listed is a static IP'd computer and BitTorrent is the trigger for the IPS logs.  I always expect BitTorrent to be unruly, but not this crazy.  Oh, and another bit of information.  I have DNAT setup to forward incoming port 51413 to that particular computer.

Any help would be appreciated.


This thread was automatically locked due to age.
  • 0
    Hi,
    Always use the SID (200012 in this case).

    I'm not sure that 200012 is a regular rule though, so disabling it may not work.

    Are you sure you don't have a NAT configuration problem?

    Is 10.1.1.91 one of your PCs?

    Barry
  • 0
    srcip="10.1.1.91" dstip="10.1.1.91"


    How did that happen?  Internal traffic shouldn't even transit the Astaro???

    Cheers - Bob
  • 0
    Same here for me. ASG 7.501 and many entries in the logfile.


    # grep -c "LAND Attack, sameip detected" ips.log 
    924


    Some examples:

    2009:11:23-09:47:10 mail snort[23210]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="10.1.2.201" dstip="10.1.2.201" proto="17" srcport="137" dstport="137" sid="200012" class="" priority="0"  generator="1" msgid="0"
    2009:11:23-09:47:11 mail snort[23210]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="10.1.2.201" dstip="10.1.2.201" proto="17" srcport="137" dstport="137" sid="200012" class="" priority="0"  generator="1" msgid="0"
    2009:11:23-09:47:13 mail snort[23210]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="LAND Attack, sameip detected" group="242" srcip="10.1.2.201" dstip="10.1.2.201" proto="17" srcport="137" dstport="137" sid="200012" class="" priority="0"  generator="1" msgid="0"


    Edit: 
    Problem was coming from a strange DNAT rule. ;-)
    Source ANY, Destination ANY, Proto NETBIOS -> DNAT 10.1.2.201
    I removed this rule..
  • 0 in reply to BarryG
    Hi,
    Always use the SID (200012 in this case).

    I'm not sure that 200012 is a regular rule though, so disabling it may not work.

    Are you sure you don't have a NAT configuration problem?

    Is 10.1.1.91 one of your PCs?

    Barry


    Yes, that particular IP is one of my PC's.  I have DNAT setup with one port to one computer, should be correct, as it was working fine before the upgrade to the 7.5 branch.
  • 0 in reply to BAlfson
    How did that happen?  Internal traffic shouldn't even transit the Astaro???

    Cheers - Bob


    That is a good question, I think that I'll have to check into that.  I may have created a loop with the masquerading and DNAT combination.