Hallo zusammen,
über eine PPTP-VPN-Verbindung greifen externe Mitarbeiter von uns auf einen Lizenserver/Datenbankserver zu.
Leider haben wir häufig mit Verbindungsabbrüchen zur Datenbank zu kämpfen.
Beim Durchforsten des LOGs ist mir folgende Meldung aufgefallen:
Apr 12 15:59:18 zzz.z.z.z IDS Engine snort[2790]: [123:3:1] (spp_frag3) Short fragment, possible DoS attempt {UDP} xxx.x.x.xx -> yyy.y.y.yyy
xxx.x.x.xx = IP Lizenzserver/Datenbankserver
yyy.y.y.yyy = IP des PPTP Clients
Kann die Meldung Probleme verursachen, da etwas geblockt wird oder ist das reine Information? Kann ich die Meldung unterdrücken?
Danke für eure Hilfe.
Gruß
Malte
Logmeldung "Short fragment, possible DoS attempt"
Moderator: Securepoint
Moin,
das Intrusion Detection System blockt nichts, sonst wäre es ein Intrusion prevention system ;-)
Die Meldung "Short Fragment Attack" kann ignoriert werden, weil sie sich auf ein seit Jahren obsoletes Verfahren zum Angriff auf WindowsNT-Systeme bezieht, dessen Pattern sich aber nach wie vor in der Snort-Datenbank befindet.
das Intrusion Detection System blockt nichts, sonst wäre es ein Intrusion prevention system ;-)
Die Meldung "Short Fragment Attack" kann ignoriert werden, weil sie sich auf ein seit Jahren obsoletes Verfahren zum Angriff auf WindowsNT-Systeme bezieht, dessen Pattern sich aber nach wie vor in der Snort-Datenbank befindet.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)