Interpretando las alertas de stream5 de Snort

0

Estoy usando snort en un switchport duplicado. Tenemos muchos dispositivos Apple que descargan mp3 directamente desde un índice de directorio.

Snort me muestra una gran cantidad de, en particular, estas dos alertas activadas por esos clientes:

[**] [3:15912:6] BAD-TRAFFIC TCP window closed before receiving data [**]
[Classification: Attempted Denial of Service] [Priority: 2] 
09/26-15:45:58.664104 83.229.XX.YY:48132 -> 94.23.X.YYY:80
TCP TTL:54 TOS:0x0 ID:21980 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x8B4FBB0F  Ack: 0xAB27D5AD  Win: 0x1  TcpLen: 32
TCP Options (3) => NOP NOP TS: 2727533 3015004127 
[Xref => http://technet.microsoft.com/en-us/security/bulletin/MS09-048] \
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-1926][Xref => \
http://cve.mitre.org/cg*emphasized text*i-bin/cvename.cgi?name=2008-4609]

------ and ------

[**] [129:4:1] TCP Timestamp is outside of PAWS window [**]
[Classification: Generic Protocol Command Decode] [Priority: 3]
09/26-15:45:57.020788 107.44.X.Y:60795 -> 94.23.X.YYY:80
TCP TTL:47 TOS:0x0 ID:49127 IpLen:20 DgmLen:52 DF
***A**** Seq: 0x2A492B18  Ack: 0x98698C6B  Win: 0x9C72  TcpLen: 32
TCP Options (3) => NOP NOP TS: 15709602 259618837
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-1925]

¿Qué significan estas dos alertas, en el sentido técnico? ¿Son perjudiciales?

    
pregunta drumfire 26.09.2012 - 15:56
fuente

1 respuesta

1

Si los archivos MP3 se ejecutan desde una ubicación de red, estos tipos de errores de la ventana TCP pueden ser comunes. El reproductor de MP3 está tratando de "transmitir" los datos, pero está usando un protocolo que no está diseñado para una transmisión eficiente.

No son perjudiciales, aunque se pueden hacer otras recomendaciones sobre la entrega de archivos MP3 a través de una red.

    
respondido por el schroeder 27.09.2012 - 17:28
fuente

Lea otras preguntas en las etiquetas