|
Título: IDS, me salta el snort diciendome dns spoof Publicado por: tecasoft en 20 Septiembre 2010, 20:51 pm me salta el snort diciendo que se a producido un ataque con la tecnica dns spoofing, concretamente me dice
DNS SPOOF query response with TTL of 1 min. and no authority ip origen: la del server de mi isp xx.xx.xx.xx.:53 udp # esto siempre es = pero la de destino es: 192.168.1.2:xx un puerto alto udp siempre diferente. no soy un experto, pero leyendo sobre este ataque a fondo me indica que no esta verificada la conexion con mi proveedor de internet. autoridad de certificacion y el ttl e leido que tiene que ser de 1 min. el snort lo tengo funcionando en mi pc de casa con debian y router comtrend, deberia de preocuparme por estas alertas de DNS SPOOFING. algun consejo de algun experto en esta materia, gracias. Título: Re: IDS, me salta el snort diciendome dns spoof Publicado por: el-brujo en 21 Septiembre 2010, 12:26 pm yo no le haría mucho caso, mucho me temo que es un "falso positivo", realmente no ocurre nada fuera de lo normal y no tienes porque preocuparte.
Título: Re: IDS, me salta el snort diciendome dns spoof Publicado por: T0rete en 22 Septiembre 2010, 22:17 pm Es algo parecido al "double dencoding attack", muchos servidores están configurados para responder así, con el doble encodding y el snort salta con una alerta que en realidad es un falsos positivo. Y así hasta un porrón de falsos positivos.
Yo habilito "config disable_decode_alerts" , supongo que podrás evitar el mensaje de dns spoof habilitando algo o modificando el parametro time de esa alerta. Todo esto cuando certifiques que es un falso positivo o que no afecta a la seguridad de tu red. Bienvenido al mundo del snort y los falsos positivos :xD Si te animas con algo un poco mas complejo te recomiendo OSSIM. Aprenderás lo maravilloso que es el mundo de la correlación de eventos unido a los IDS e IRS |