me salta el snort diciendo que se a producido un ataque con la tecnica dns spoofing, concretamente me dice

DNS SPOOF query response with TTL of 1 min. and no authority

ip origen: la del server de mi isp xx.xx.xx.xx.:53 udp # esto siempre es =

pero la de destino es:

192.168.1.2:xx un puerto alto udp siempre diferente.

no soy un experto, pero leyendo sobre este ataque a fondo me indica que no esta verificada la conexion con mi proveedor de internet. autoridad de certificacion y el ttl e leido que tiene que ser de 1 min.

el snort lo tengo funcionando en mi pc de casa con debian y router comtrend, deberia de preocuparme por estas alertas de DNS SPOOFING. algun consejo de algun experto en esta materia, gracias.

Es algo parecido al "double dencoding attack", muchos servidores están configurados para responder así, con el doble encodding y el snort salta con una alerta que en realidad es un falsos positivo. Y así hasta un porrón de falsos positivos.

Yo habilito "config disable_decode_alerts" , supongo que podrás evitar el mensaje de dns spoof habilitando algo o modificando el parametro time de esa alerta. Todo esto cuando certifiques que es un falso positivo o que no afecta a la seguridad de tu red.

Bienvenido al mundo del snort y los falsos positivos

Si te animas con algo un poco mas complejo te recomiendo OSSIM. Aprenderás lo maravilloso que es el mundo de la correlación de eventos unido a los IDS e IRS