|
|
|
|
Snort Forums Archive
Archive Home » Rules » (portscan) .... (http_inspect) ....
Please note that the categories listed below represent an archived version of our forums pages. To view the current version and be able to post and reply to threads, please register and login here to go to the full forums pages.
[ Notice: Full Version of This Topic ]
(portscan) .... (http_inspect) ....
Posted by viviqt on May 05, 2005 09:20:53
Hi
Snort is registering:
(portscan) TCP Portsweep
(portscan) Open Port
(portscan) TCP Portscan
(portscan) UDP Portscan
(portscan) UDP Portsweep
(http_inspect) OVERSIZE CHUNK ENCODING
(http_inspect) OVERSIZE REQUEST-URI DIRECTORY
(http_inspect) IIS UNICODE CODEPOINT ENCODING
(http_inspect) WEBROOT DIRECTORY TRAVERSAL
(http_inspect) OVERSIZE CHUNK ENCODING
(snort-decoder) Unknown Datagram decoding problem!
You can help me with some information about those alert. Are they it a malicious alert?
Thank. |
|
Posted by lile81 on November 21, 2006 23:57:10
sto facendo la stessa analisi...
La scansioni sono un tipo di attacco piuttosto comune e hanno lo scopo di capire quali porte sono aperte su un determinato sistema, se sono bloccate da un firewall e se la macchina è vulnerabile. L'attacco vero e proprio avviene in un momento successivo, pertanto se hai la macchina aggiornata e ben protetta le scansioni non ti devono preoccupare.
gli http_inspect li sto analizzando ora... spesso si tratta di falsi positivi... dovresti guardare il payload del pacchetto per capire meglio cosa succede... e considerare anche se gli ip sorgenti dell'evento rilevato da snort sono privati (della tua lan) o pubblici e valutare di conseguenza |
|
|
|
|
|
