me salta el snort diciendo que se a producido un ataque con la tecnica dns spoofing, concretamente me dice
DNS SPOOF query response with TTL of 1 min. and no authority
ip origen: la del server de mi isp xx.xx.xx.xx.:53 udp # esto siempre es =
pero la de destino es:
192.168.1.2:xx un puerto alto udp siempre diferente.
no soy un experto, pero leyendo sobre este ataque a fondo me indica que no esta verificada la conexion con mi proveedor de internet. autoridad de certificacion y el ttl e leido que tiene que ser de 1 min.
el snort lo tengo funcionando en mi pc de casa con debian y router comtrend, deberia de preocuparme por estas alertas de DNS SPOOFING. algun consejo de algun experto en esta materia, gracias.
yo no le haría mucho caso, mucho me temo que es un "falso positivo", realmente no ocurre nada fuera de lo normal y no tienes porque preocuparte.
Es algo parecido al "double dencoding attack", muchos servidores están configurados para responder así, con el doble encodding y el snort salta con una alerta que en realidad es un falsos positivo. Y así hasta un porrón de falsos positivos.
Yo habilito "config disable_decode_alerts" , supongo que podrás evitar el mensaje de dns spoof habilitando algo o modificando el parametro time de esa alerta. Todo esto cuando certifiques que es un falso positivo o que no afecta a la seguridad de tu red.
Bienvenido al mundo del snort y los falsos positivos :xD
Si te animas con algo un poco mas complejo te recomiendo OSSIM. Aprenderás lo maravilloso que es el mundo de la correlación de eventos unido a los IDS e IRS