Logmeldung "Short fragment, possible DoS attempt"

Moderator: Securepoint

Gesperrt
Hose1979
Beiträge: 25
Registriert: Di 10.04.2012, 11:42

Logmeldung "Short fragment, possible DoS attempt"

Beitrag von Hose1979 »

Hallo zusammen,

über eine PPTP-VPN-Verbindung greifen externe Mitarbeiter von uns auf einen Lizenserver/Datenbankserver zu.

Leider haben wir häufig mit Verbindungsabbrüchen zur Datenbank zu kämpfen.

Beim Durchforsten des LOGs ist mir folgende Meldung aufgefallen:

Apr 12 15:59:18 zzz.z.z.z IDS Engine snort[2790]: [123:3:1] (spp_frag3) Short fragment, possible DoS attempt {UDP} xxx.x.x.xx -> yyy.y.y.yyy

xxx.x.x.xx = IP Lizenzserver/Datenbankserver
yyy.y.y.yyy = IP des PPTP Clients

Kann die Meldung Probleme verursachen, da etwas geblockt wird oder ist das reine Information? Kann ich die Meldung unterdrücken?

Danke für eure Hilfe.

Gruß
Malte

Andreas
Securepoint
Beiträge: 124
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Moin,

das Intrusion Detection System blockt nichts, sonst wäre es ein Intrusion prevention system ;-)

Die Meldung "Short Fragment Attack" kann ignoriert werden, weil sie sich auf ein seit Jahren obsoletes Verfahren zum Angriff auf WindowsNT-Systeme bezieht, dessen Pattern sich aber nach wie vor in der Snort-Datenbank befindet.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

Hose1979
Beiträge: 25
Registriert: Di 10.04.2012, 11:42

Beitrag von Hose1979 »

Danke für die Info!!

Gruß
Malte

Gesperrt