Здравствуйте!
IDS (Система Обнаружения Вторжений) Snort, постоянно выдаёт сообщения вида:
.....
[] [129:20:1] TCP session without 3-way handshake []
[Classification: Potentially Bad Traffic] [Priority: 2]
05/30-time my-ip:port -> other-ip:port
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:40 DF
*R** Seq: 0xA12CC438 Ack: 0x0 Win: 0x0 TcpLen: 20
[] [129:20:1] TCP session without 3-way handshake []
[Classification: Potentially Bad Traffic] [Priority: 2]
05/30-time other-ip:port -> my-ip:port
TCP TTL:53 TOS:0x0 ID:7229 IpLen:20 DgmLen:40 DF
*A*F Seq: 0x468222FB Ack: 0xA12CC438 Win: 0xA6 TcpLen: 20
....
При входе на сайт mvd.ru тоже такое же сообщение в логах.
Пробовали ли Вы работать со Snort?
Как Вы считаете достоверен ли трафик с такой ошибкой?
Пробовал включать и выключать проверку трафика сертификатом Dr.Web.
Решатся ли подобные проблемы, если сделать обращение в МВД?
Программа скачана из репозитория бесплатных программ дистрибутива ОС на ядре Linux. Но для Windows она тоже есть. Пробовал и раньше на других системах - сигнализируется давно.
Включены:
<h1>site specific rules</h1>
include $RULE_PATH/community<wbr />.rules
<h1>decoder and preprocessor event rules</h1>
include $PREPROC_RULE_PATH/p<wbr />reprocessor.rules
include $PREPROC_RULE_PATH/d<wbr />ecoder.rules
include $PREPROC_RULE_PATH/s<wbr />ensitive-data.rules
.
Запускается так (если кому-то интересно):
<h1>snort -A full -c /etc/snort/snort.con<wbr />f -l /home/username/snort</h1>
