Alarm Port System Versuche lupe Maßnahmen Alert

Snort IDS & Loopback

Von: , Frage gestellt am Di, 11. Jan 2005

Hallo zusammen,
ich versuche seit einer Weile, den Internet-Traffic meines (Debian-)Einzelsystems mittels Snort IDS unter die Lupe zu nehmen, was im großen und ganzen auch gut klappt. Bei einem Alert-Typ bin ich mir mit meinen weniger umfangreichen Netzwerkkenntnissen nicht so sicher. Nämlich Angelegenheiten wie dieser hier:

01/01-17:12:25.026318  [**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 127.0.0.1:32778 -> 127.0.0.1:111

(der Portmapper ist übrigens deaktiviert)
Wie ist sowas zu interpretieren: False positive? Versuchte da wer, sich auf meinem System einzunisten? Oder hat es jemand sogar schon geschafft und versucht nun krampfhaft, den 111er freizuschalten? (Ich habe solche Meldungen doch recht regelmäßig im Alert-File) Da könnte ich mal etwas Interpretationshilfe gebrauchen- wie sehen erfahrenere Admins sowas: Undramatisch, oder sollten weitergehende Maßnahmen getroffen werden? (chkrootkit und f-prot vermelden übrigens nichts...)

Grüße
Len

5 Antworten zu dieser Frage

Antwort von nach 9 Stunden 0 hilfreich

Re: Snort IDS & Loopback

Hallo,
```
01/01-17:12:25.026318  [**] [1:527:8] BAD-TRAFFIC same SRC/DST
[**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
127.0.0.1:32778 -> 127.0.0.1:111
```
Da wird das Loopback-Interface genutztz, das ist unter Un*x nichts ungewöhnliches. (der Portmapper ist übrigens deaktiviert)
Hu? Naja, da *versucht* wohl jemand Kontakt aufzubauen. Wie ist sowas zu interpretieren: False positive?
Vermutlich. Versuchte da
wer, sich auf meinem System einzunisten?
Da sehe ich kein Indiz für. Oder hat es jemand
sogar schon geschafft und versucht nun krampfhaft, den 111er
freizuschalten?
Da sehe cih keinen Anhalt für: ist der Port 111 denn "ansprechbar"? (Ich habe solche Meldungen doch recht
regelmäßig im Alert-File) Da könnte ich mal etwas
Interpretationshilfe gebrauchen
Ich kenne Deine Gegebenheiten nicht, aber das scheint mir vollkommen undramatisch.

HTH,

Sebastian
- Antwort von nach 23 Stunden 0 hilfreich
  
  Re^2: Snort IDS & Loopback
  
  Hallo Sebastian,
  das sind ja schonmal beruhigende Nachrichten. Versuchte da
  wer, sich auf meinem System einzunisten?
  Da sehe ich kein Indiz für.
  Gut- aber was könnte denn beispielsweise ein Indiz für soetwas sein?
  (Nur ein anderer Alert von Snort?) Oder hat es jemand
  sogar schon geschafft und versucht nun krampfhaft, den 111er
  freizuschalten?
  Da sehe cih keinen Anhalt für: ist der Port 111 denn
  "ansprechbar"?
  Laut Sygate's online-scan zumindest nicht...
  Allerdings steigern sich die Aktivitäten inzwischen:
  - teilweise bricht eine regelrechte Flut dieser Alerts los
  - das seltsamerweise zu bestimmten Tageszeiten
  - was nicht immer, aber immer öfter mit merkwürdigen Verbindungsversuchen einher geht (Ethereal fängt da öfters einiges auf, bevor ich überhaupt eine Browser-Instanz geöffnet habe, allerdings mit RST,ACK ;-)
  - andere Ports eifrig werden gecheckt (707, 934,...)
  - beim Starten des Konqueror ohne jede Netzverbindung gibt es den gleichen Alarm
  
  Mein DSL-Modem morste bislang bei alldem keine Aktivität nach draußen, aber auch das scheint sich langsam zu ändern- sprich: Serienalerts gingen gestern auch mit regem Traffic einher. Ließ sich zwar durch kurzfristigen Log-Out beheben, macht mir allerdings trotzdem ein eher ungutes Bauchgefühl...
  
  Grüße & Dank einstweilen
  Len
  - Antwort von nach einem Tag 0 hilfreich
    
    Re^3: Snort IDS & Loopback
    
    Hallo, das sind ja schonmal beruhigende Nachrichten. Versuchte da
    wer, sich auf meinem System einzunisten?
    Da sehe ich kein Indiz für.
    Gut- aber was könnte denn beispielsweise ein Indiz für soetwas
    sein?
    Hmm, ich kenne nicht alle Alerts auswendig: für einen brauchbar konfigurierten Einzelplatzrechner ist snort wenn Du mich fragst in etwa so sinnvoll wie ein Fuchsschwanz an der Antenne eines Mantas. Oder eine unter Windows-Nutzern gerne gehätschlte "Personal Firewall".
    
    Da sehe cih keinen Anhalt für: ist der Port 111 denn
    "ansprechbar"?
    Laut Sygate's online-scan zumindest nicht...
    Wobei ich da aher andere Werkzeuge wählen würde .. Allerdings steigern sich die Aktivitäten inzwischen:
    - teilweise bricht eine regelrechte Flut dieser Alerts los
    In welchen Momenten? Eventuell würde man mit Ethereal da mehr erreichen können - das seltsamerweise zu bestimmten Tageszeiten
    irgendwelche cron-jobs? Zu was für Tagesziuten? - was nicht immer, aber immer öfter mit merkwürdigen
    Verbindungsversuchen einher geht (Ethereal fängt da öfters
    einiges auf, bevor ich überhaupt eine Browser-Instanz geöffnet
    habe, allerdings mit RST,ACK ;-)
    "Merkwürdige Verbindunsversuche" und "fängt einiges auf" sind zwar bequeme und unverbindliche Formulierungen, für die Fehlersuche kann man sie aber gleich in dei Tonne treten. - andere Ports eifrig werden gecheckt (707, 934,...)
    "eifrig gecheckt" ==> Tonne - beim Starten des Konqueror ohne jede Netzverbindung gibt es
    den gleichen Alarm
    Vermutlich versucht konqueror, lokale "Freigaben" zu finden und zu mounten. Keine Ahnung, ich nutze den nicht . Mein DSL-Modem morste bislang bei alldem keine Aktivität nach
    draußen, aber auch das scheint sich langsam zu ändern- sprich:
    Serienalerts
    ==> Tonne gingen gestern auch mit regem Traffic einher.
    Ließ sich zwar durch kurzfristigen Log-Out beheben, macht mir
    allerdings trotzdem ein eher ungutes Bauchgefühl...
    Ich habe eher das Gefühl, daß Du nicht zur Zielgruppe der Snort-Anwender gehörstt. Ist Dein System eigentlich mit allen Sicherheitsupdates des Herstellers/Distributors versehen?
    
    Gruß,
    
    Sebastian
    - Antwort von nach 2 Tagen 0 hilfreich
      
      Re^4: Snort IDS & Loopback
      
      Moin, "Merkwürdige Verbindunsversuche" und "fängt einiges auf" sind
      zwar bequeme und unverbindliche Formulierungen, für die
      Genau: Weil es mir jetzt und hier (noch) nicht um irgendeine detaillierte Analyse geht. Schätze mal, du hast auch was gegen Leute, die auf einen vagen Laienverdacht hin alles mit fetten Listings zumüllen. Ich habe eher das Gefühl, daß Du nicht zur Zielgruppe der
      Snort-Anwender gehörstt.
      Hatte ich sowas behauptet?
      Anyway...
      
      Greetz
      Len
Antwort von nach 2 Tagen 0 hilfreich

Re: Snort IDS & Loopback

Hallo Lenny,
```
01/01-17:12:25.026318  [**] [1:527:8] BAD-TRAFFIC same SRC/DST
[**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP}
127.0.0.1:32778 -> 127.0.0.1:111
```
(der Portmapper ist übrigens deaktiviert)
offenbar Anfragen des localhost an Portmap. Möglichkeit: tcpdump -vvv -i lo machen doer irgendnen anderen Sniffer. Andere Möglichkeit: überlegen: ist vielleicht ein Dienst installiert, der Portmap nutzt? vielleicht NFS, oder ne komische Druckkonfiguration? einfach mal netstat -atup oder -an befragen.
Ansonsten: Auf Grund der wenigen Angaben (läuft irgendein Proxy, Dienst, Masquerading?) wär natürlich auch tatsächlich ein Spitzubube denkbar.

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!