Interpretazione degli avvisi stream5 di Snort

Naviga le tue risposte
0

Sto usando snort su un portlet specchiato. Abbiamo un sacco di dispositivi Apple che scaricano mp3 direttamente da un indice di directory.

Snort mi mostra una quantità enorme di, in particolare, questi due avvisi attivati da quei client: 

[**] [3:15912:6] BAD-TRAFFIC TCP window closed before receiving data [**]
[Classification: Attempted Denial of Service] [Priority: 2] 
09/26-15:45:58.664104 83.229.XX.YY:48132 -> 94.23.X.YYY:80
TCP TTL:54 TOS:0x0 ID:21980 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x8B4FBB0F  Ack: 0xAB27D5AD  Win: 0x1  TcpLen: 32
TCP Options (3) => NOP NOP TS: 2727533 3015004127 
[Xref => http://technet.microsoft.com/en-us/security/bulletin/MS09-048] \
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-1926][Xref => \
http://cve.mitre.org/cg*emphasized text*i-bin/cvename.cgi?name=2008-4609]

------ and ------

[**] [129:4:1] TCP Timestamp is outside of PAWS window [**]
[Classification: Generic Protocol Command Decode] [Priority: 3]
09/26-15:45:57.020788 107.44.X.Y:60795 -> 94.23.X.YYY:80
TCP TTL:47 TOS:0x0 ID:49127 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x2A492B18  Ack: 0x98698C6B  Win: 0x9C72  TcpLen: 32
TCP Options (3) => NOP NOP TS: 15709602 259618837
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-1925]

Che cosa significano questi due avvisi, in senso tecnico? Sono dannosi?

    
posta drumfire 26.09.2012 - 15:56
fonte

1 risposta

1

Se gli MP3 vengono eseguiti da un percorso di rete, questi tipi di errori della finestra TCP possono essere comuni. Il lettore MP3 sta provando a "trasmettere" i dati, ma sta utilizzando un protocollo che non è progettato per uno streaming efficiente.

Questi non sono dannosi, anche se potrebbero essere fatte altre raccomandazioni su come servire file MP3 su una rete.

    
risposta data 27.09.2012 - 17:28
fonte

Leggi altre domande sui tag

Proxy anonimo su SSL [chiuso] La tecnologia SIEM è adatta al database? [chiuso]