Snort, novo alerta? SSID 120:18
-
2.4.4-RELEASE-p3 (amd64)
built on Wed May 15 18:53:44 EDT 2019
FreeBSD 11.2-RELEASE-p10Tudo bem pessoal? Utilizo o Snort na LAN e notei que ontem no final da tarde começou a aparecer o alerta SSID 120:18 (http_inspect) PROTOCOL-OTHER HTTP server response before client request. E agora pela manhã inúmeros alertas com esse SSID. Parece ser uma nova atualização do Snort. Seria um falso positivo? Alguém notou esse alerta?
Em busca pela Web, os amigos da França também notaram esse alerta e estão sem respostas também!
-
Tambem estou tendo esse alerta, achei a seguinte descrição do SID:
New preprocessor alert (120:18) to detect SSH tunneling over HTTP
FonteEsse artigo explica o SSH Tunneling
