Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4111 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question about: The packet has *not* been dropped.

webservio
Hello Everyone,

Although in my IDP section I have check marked Drop for Action as well as Add extra warnings and Notify I still get Alerts with notification that packet has not been dropped (see below). Am I missing anything?


Intrusion Prevention Alert

An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future,
set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.

Details about the intrusion alert:

Message........: POLICY-OTHER web server file upload attempt


This thread was automatically locked due to age.
  • 0
    Hi, what is the SID, and are you sure you have that SID marked to DROP?

    Also, I'm moving this thread out of Web Server Security as it is an IPS question.

    Barry
  • 0 in reply to BarryG
    Hi, what is the SID, and are you sure you have that SID marked to DROP?

    Also, I'm moving this thread out of Web Server Security as it is an IPS question.

    Barry


    Thanks for moving my question to the right thread. Below is more information of an example detection which states the SID. In regards to if I have the SID marked to drop: I have action to Drop in everything in the Attack Patterns. Is there another place that I need to set anything else up for a specific SID?

    More info:

    Message........: WEB-MISC .htpasswd access
    Details........: Snort ::
    Time...........: 2013:02:13-11:00:12
    Packet dropped.: no
    Priority.......: high
    Classification.: Web Application Attack
    IP protocol....: 6 (TCP)
  • 0
    The extra warnings are just that....for warning purposes only, but the action will not apply to them.  If you want to see these dropped, go to the Advanced Tab and add a rule modification, set to drop.
  • 0 in reply to Scott_Klassen
    The extra warnings are just that....for warning purposes only, but the action will not apply to them.  If you want to see these dropped, go to the Advanced Tab and add a rule modification, set to drop.


    Thanks for your post.

    So based on what you said these patterns are not included in Attack Patterns Set up page? As I said I have all the patterns checked and set action to Drop. Additionally I had the Options checked for each as well as Notify, so could this be the reason they are not dropped? Before going to the Advanced setting and messing with adding rules I wanted to make certain that I understood this correctly.
  • 0
    Hi, 

    Besides the listed attack patterns, there is an option for 'enable extra warnings'.

    If you enable that, it turns on additional rules/patterns, but they are set to 'alert' instead of 'drop', probably because they have a higher false-positive rate than the other rulesets.

    As Scott says, you would have to use the Rule Modification to change each one to Drop.
    That would be time consuming if you wanted to modify all of them, and you would probably end up blocking a lot of good traffic.

    Barry
  • 0 in reply to BarryG
    Thanks very much for your help!