Каждый раз выходя в инет через squid - snort записывает в alert:
[**] [1:618:5] SCAN Squid Proxy attempt [**]
[Classification: Attempted Information Leak] [Priority: 2]
01/13-18:32:15.784181 0:0:39:93:19:DB -> 0:C:6E:6F:8F:E2 type:0x800 len:0x3E
192.168.5.1:2379 -> 192.168.5.3:3128 TCP TTL:128 TOS:0x0 ID:14463 IpLen:20 DgmLen:48 DF
******S* Seq: 0x9D4C276C  Ack: 0x0  Win: 0xFAF0  TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK

А вот правило: scan.rules
alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; stateless; flags:a

• snort ругается на squid...,HFSC, 16:59 , 14-Янв-04
  • snort ругается на squid...,kazak, 17:14 , 14-Янв-04

>Каждый раз выходя в инет через squid - snort записывает в alert:
>
>[**] [1:618:5] SCAN Squid Proxy attempt [**]
>[Classification: Attempted Information Leak] [Priority: 2]
>01/13-18:32:15.784181 0:0:39:93:19:DB -> 0:C:6E:6F:8F:E2 type:0x800 len:0x3E
>192.168.5.1:2379 -> 192.168.5.3:3128 TCP TTL:128 TOS:0x0 ID:14463 IpLen:20 DgmLen:48 DF
>******S* Seq: 0x9D4C276C  Ack: 0x0  Win: 0xFAF0  TcpLen: 28
>
>TCP Options (4) => MSS: 1460 NOP NOP SackOK
>
>А вот правило: scan.rules
>alert tcp $EXTERNAL_NET any -> $HOME_NET 3128 (msg:"SCAN Squid Proxy attempt"; stateless; flags:a

в snort.conf PASS tcp $EXTERNAL_NET any -> $HOME_NET 3128
и запускать с -o

Спасибо сработало. А, что значит  SCAN Squid Proxy attempt [**]
[Classification: Attempted Information Leak]. Почему он посчитал это атакой? И что произошло когда я изменил в правиле alert на pass?