IDS, me salta el snort diciendome dns spoof

[tecasoft]

me salta el snort diciendo que se a producido un ataque con la tecnica dns spoofing, concretamente me dice

DNS SPOOF query response with TTL of 1 min. and no authority

ip origen: la del server de mi isp xx.xx.xx.xx.:53 udp # esto siempre es =

pero la de destino es:

192.168.1.2:xx un puerto alto udp siempre diferente.

no soy un experto, pero leyendo sobre este ataque a fondo me indica que no esta verificada la conexion con mi proveedor de internet. autoridad de certificacion y el ttl e leido que tiene que ser de 1 min.

el snort lo tengo funcionando en mi pc de casa con debian y router comtrend, deberia de preocuparme por estas alertas de DNS SPOOFING. algun consejo de algun experto en esta materia, gracias.

[el-brujo]

yo no le haría mucho caso, mucho me temo que es un "falso positivo", realmente no ocurre nada fuera de lo normal y no tienes porque preocuparte.

[T0rete]

Es algo parecido al "double dencoding attack", muchos servidores están configurados para responder así, con el doble encodding y el snort salta con una alerta que en realidad es un falsos positivo. Y así hasta un porrón de falsos positivos.

Yo habilito "config disable_decode_alerts" , supongo que podrás evitar el mensaje de dns spoof habilitando algo o modificando el parametro time de esa alerta. Todo esto cuando certifiques que es un falso positivo o que no afecta a la seguridad de tu red.

Bienvenido al mundo del snort y los falsos positivos

Si te animas con algo un poco mas complejo te recomiendo OSSIM. Aprenderás lo maravilloso que es el mundo de la correlación de eventos unido a los IDS e IRS