Используется:
Debian 7.3 x64
snort Version 2.9.2.2 IPv6 GRE (Build 121)
ipkungfu-0.6.1
Исходная ситуация:
имеется компьютер под управлением debian. Он подключен к роутеру d-link, на d-link приходит кабель провайдера.
Полный список того, что было сделано:
были установлены snort и ipkungfu
sudo aptitude install snort ipkungfu
sudo snort -D
Для ipkungfu были сделаны такие настройки в /etc/ipkungfu/ipkungfu.conf
https://gist.github.com/anonymous/5b851e3cfe426283eb8e
В /etc/default/ipkungfu IPKFSTART был установлен в 1, чтобы ipkungfu стартовал вместе с системой. Больше для ipkungfu настройки не делались.
На утро получаю в /var/mail/user следующий отчет от snort:
https://gist.github.com/anonymous/f8e5145abc51b9244470
А так же множественные алерты в /var/log/snort/alert
(за 12 часов более 3000 строк, поэтому привожу краткую выдержку типичных из них - множество ip-адресов, сообщения о bad traffic):
https://gist.github.com/anonymous/f3a490fa08dd3c8ff6fc
Ситуация в настоящий момент: иностранные ip из алертов пропали, повторяются алерты типа:
[**] [1:402:7] ICMP Destination Unreachable Port Unreachable [**]
[Classification: Misc activity] [Priority: 3]
02/04-23:43:58.853713 192.168.0.45 -> 192.168.1.1
ICMP TTL:64 TOS:0xD0 ID:56292 IpLen:20 DgmLen:224
Type:3 Code:3 DESTINATION UNREACHABLE: PORT UNREACHABLE
** ORIGINAL DATAGRAM DUMP:
192.168.1.1:53 -> 192.168.0.45:50373
UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:196 DF
Len: 168 Csum: 6942
(168 more bytes of original packet)
** END OF DUMP
а так же
[**] [1:527:8] BAD-TRAFFIC same SRC/DST [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/04-22:56:17.729402 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:128 TOS:0x0 ID:0 IpLen:20 DgmLen:332
Len: 304
[Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666]
Прочие симптомы:
- при попытке поиска в гугле выдается предупреждение о плохом траффике из моей сети.
- если зайти на адреса ip из алертов, то на могих панель входа в роутеры.
- при удалении ipkungfu алерты прекратились. Но потом ipkungfu был установлен, чтобы продолжить наблюдения, и все продолжилось.
Вопросы:
1. Как интерпретировать вышеприведенное содержимое /var/log/snort/alert?
2. Что за массовые иностранные ip в отчете от snort?
3. Как это может быть связано с ipkungfu и может ли?
4. Откуда идет bad traffic?
5. Какие меры вы бы предприняли в связи с этими алертами?