Около месяца назад на одном из моих серверов я начал получать случайные пакеты с IP-адресов со всего мира. Я поступил по-умному и перестал откладывать установку IDS. IDS представляет собой шлюз ClearOS, который поставляется с Snort и SnortSam. Я включил его и все классификации. Классификация "сканирование сети" присутствует, что означает, что он должен обнаруживать сканы портов и т.
Всего открыто 4 порта, два из которых направлены на сервер, о котором я говорю. Это порты 3724 и 8085, поэтому их нелегко обнаружить при сканировании портов.
Однако, проверив некоторые логи этого сервера, я обнаружил, что атака возобновляется. я нашел это
...
Accepting connection from '75.166.155.122'
[Auth] got unknown packet from '75.166.155.122'
Accepting connection from '98.164.154.93'
[Auth] got unknown packet from '98.164.154.93'
Ping MySQL to keep connection alive
Accepting connection from '70.241.195.129'
[Auth] got unknown packet from '70.241.195.129'
Accepting connection from '67.182.229.169'
[Auth] got unknown packet from '67.182.229.169'
Accepting connection from '69.137.140.38'
[Auth] got unknown packet from '69.137.140.38'
Accepting connection from '76.31.72.55'
[Auth] got unknown packet from '76.31.72.55'
Accepting connection from '97.88.139.39'
[Auth] got unknown packet from '97.88.139.39'
Accepting connection from '173.35.62.112'
[Auth] got unknown packet from '173.35.62.112'
Accepting connection from '187.15.10.73'
[Auth] got unknown packet from '187.15.10.73'
Accepting connection from '66.66.94.124'
[Auth] got unknown packet from '66.66.94.124'
Accepting connection from '75.159.219.124'
[Auth] got unknown packet from '75.159.219.124'
Accepting connection from '99.102.100.82'
[Auth] got unknown packet from '99.102.100.82'
Accepting connection from '24.128.240.45'
[Auth] got unknown packet from '24.128.240.45'
Accepting connection from '99.231.7.39'
[Auth] got unknown packet from '99.231.7.39'
Accepting connection from '206.255.79.56'
[Auth] got unknown packet from '206.255.79.56'
Accepting connection from '68.97.106.235'
[Auth] got unknown packet from '68.97.106.235'
Accepting connection from '69.134.67.251'
[Auth] got unknown packet from '69.134.67.251'
Accepting connection from '63.228.138.186'
[Auth] got unknown packet from '63.228.138.186'
Accepting connection from '184.39.146.193'
[Auth] got unknown packet from '184.39.146.193'
Accepting connection from '69.171.161.102'
[Auth] got unknown packet from '69.171.161.102'
Accepting connection from '76.0.47.228'
[Auth] got unknown packet from '76.0.47.228'
Ping MySQL to keep connection alive
Accepting connection from '126.112.201.14'
[Auth] got unknown packet from '126.112.201.14'
Ping MySQL to keep connection alive
Теперь это меня пугает. Почему Snort этого не замечает? Как им удалось найти этот конкретный порт?
Что еще более важно, что обычно содержат эти пакеты? Это то, о чем мне следует беспокоиться? Как я могу это остановить?
Как и большинство IDS, Snort - очень сложный технологический элемент, требующий больших усилий, чтобы начать давать полезные результаты. Настройка требует как много времени, затрачиваемого на анализ предупреждений, так и того, какие сервисы у вас есть, чтобы вы могли определить, какие наборы правил нужно включить, а какие отключить. Знание того, что вас интересуют две услуги, действительно помогает сузить круг вопросов, которые могут быть вам полезны.
Просматривая как официальные правила SourceFire, так и сторонние Возникающие угрозы, единственное предупреждение, которое я обнаружил, касается совпадения успешных и неудачных попыток входа в World of Warcraft. Я бы начал с поиска Сайт правил SourceFire за ваши услуги. Вам также может быть полезно ознакомиться с препроцессором sfPortscan в Руководство.
К сожалению, я мало что знаю о ClearOS и о том, как они обертывают управление приложением. Однако приложение snort на самом деле довольно легко читать, если вы справитесь с многословием.