9 - Enlevez l'alerte Snort pour "Bad Traffic Loopback Traffic"

Vous avez ajouté les règles du chapitre 8 pour l'antispoofing, mais vous avez toujours des alertes de la part de snort.

Suite au virus blaster, il y a des résidus qui arrivent sur l'interface RED avec comme adresse ip source 127.0.0.1.

Cela enlève toute visibilité des logs sur certains réseaux :

bad-traffic loopback traffic 127.0.0.1:80 -> ip-red.

Le fait d'avoir ces alertes ne signifie pas que les paquets passent (si vous avez ajouté les règles d'antispoofing), mais ils arrivent quand même sur l'interface, donc snort les détectent.

Nous allons donc enlever la detection de snort sur cette attaque.

Pour cela , logué en tant que root , tapez :

vi /etc/snort/bad-traffic.rules (pour éditer le fichier avec vi)

Tapez 15G pour aller à la ligne 15 et la mettre en commentaire (en mode insert ajouter # en début de ligne)

ce qui donne :

#any any <> 127.0.0.0/8 any (msg:"BAD-TRAFFIC loopback traffic"; classtype:bad-unknown; reference:url,rr.sans.org/firewall/egress.php; sid:528; rev:4;)

Voilà, vous n'aurez plus d'alertes snort sur ce type d'attaque. Attention, il est conseillé de passer par le chapitre 8 avant.