Messages alertes ntop



  • Bonjour,

    Depuis quelques temps après avoir installé le package ntop sur mon pfsense, je rencontre des alertes de ce type(voir PJ) :

    " Suspicious Activity Probing or server down: 13.81.211.255 > 192.168.1.12 [TCP 13.81.211.255:443 > 192.168.1.12:61778 [proto: 0/Unknown][1/0 pkts][54/0 bytes][ACK RST]] "

    Comme on peut le voir j'ai quasiment des alertes toutes les minutes, voir secondes…

    Quelqu'un aurait une idée?






  • Merci pour ta réponse, je suis pas un expert de la langue anglaise mais j'ai cru comprendre que les messages n'indiquent pas d'attaques mais un bug qui serait rectifiable en installant la dernière version du paquet.. ce que j'ai fais mais après suppression des alertes, elles reviennent !!



  • C'est bien le cas. Mais le paquet pfsense n'est pas nécessairement à jour.



  • Encor merci pour ta réponse.
    Cependant j'ai un client sur mon réseau qui réagit pas très bien (voir la PJ). Depuis quelques jours eset notifie 2, 3 fois par jours des messages d'alertes et la source serait mon pfsense .. J'ai l'impression que ce comportement n'est pas normal..
    J'ai donc fais une analyse wireshark et l'info source quench revient souvent, j'ai fais des recherches sur le net et je trouve pas mal de choses différentes à ce sujet, quelqu'un pourrait m’éclaircir?




  • Personne rencontre ce genre de problème avec pfsense?



  • Comment faire pour limiter les paquets icmp recus sur une interface à 20 k/s par exemple?



  • J'ai changé pour test dans:

    System > Advanced > System Tunable la valeur net.inet.icmp.icmplim à 50 qui était par défaut à 0



  • Sorry my frensh writing isn't that great, ..

    I do have the exact same problem, .. I think you can turn it off, when you're logged on, in ntop you have a choise alerts in your right side menu. Probing alers should turn it off, however I wonder why it is I get these errors.

    Je suis désolé, mon écriture français n'est pas génial, ..

    J'ai exactement le même problème … Je pense que vous pouvez l'éteindre, lorsque vous êtes connecté, dans ntop, vous avez une alerte de sélection dans votre menu à droite. Les correcteurs d'alésage devraient l'éteindre, mais je me demande pourquoi c'est que je reçois ces erreurs.

    section:

    Alerts
    Enable Probing Alerts

    Enable alerts generated when probing attempts are detected.

    Alerts On Syslog

    Enable alerts logging on system syslog.

    J'ai deja essayer a reinstaller le paquet.



  • Thanks for your answer ! but i have another problems or not ..

    Alors voila ce que je rencontre comme problèmes, que j'ai peu être déjà fais par dans mes précédent post..

    Mon serveur antivirus m'alerte plusieurs fois par jours concernant des attaques ICMP venant de ma WANGW pfsense …

    wan rules: je n'ai ouvert que le port 1194 pour openvpn

    lan rules: rien de spécial, 80,443,53,22.. je peux up mes règles s'il le faut

    public pour le wifi: 80.443.53

    Comment cela est il possible qu'un client de mon lan soit icmp flood ?




  • Es tu certain qu'il s'agit de l'antivirus ?



  • Ce sont des alertes du pare-feu intégré dans eset endpoint security. Je me suis mal exprimé.
    Je ne comprend pas les attaques par saturation icmp.
    Les balayage de ports c'est moi par contre.


Log in to reply