Bom dia senhores,
Seguinte, a alguns meses venho utilizando o Snort 2.6 em um FreeBSD 6.1 STABLE... para bloquear os ips dos atacantes no firewall utilizo o OSSEC (www.ossec.net, projeto de um brasileiro :). Tenho acompanhado os relatórios de ataques utilizando o BASE (http://base.secureideas.net/). Tem dia que verifico no firewall a quantidade de IPs bloqueados (ipfw table 1 list) e realmente fico assustado, às vezes tem mais de 50... (os ips são removidos da lista automaticamente após 24hs)... o que estou achando estranho é o seguinte... às vezes hospedo algum arquivo no meu apache e peço para algum amigo baixar, com poucos minutos ele reclama que o site não está mais no ar, quando checo no firewall ele foi bloqueado... ele não tentou nenhum tipo de ataque contra meu servidor, não sei o que posso fazer na configuração do Snort para diminuir esses "falso-alerta"... as mensagens geralmente são essas: (http_inspect) DOUBLE DECODING ATTACK (http_inspect) BARE BYTE UNICODE ENCODING ICMP Destination Unreachable Communication Administratively Prohibited Essa primeira é a que mais aparece... isso em um simples download ao meu host... alguém da lista usa Snort e pode comentar sobre o assunto? Bom fim de semana. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
