snort_decoder problema

[Miguel Angel Amador L]

On Fri, 18 Feb 2005 12:42:09 -0300, Victor Hugo dos Santos
<victorhugops en cass.cl> wrote:
> Señores,
> 
> estoy configurando snort y me aparece la siguiente mensaje en el registro:
> 
> ====================================
> [**] [116:3:1] (snort_decoder) WARNING: IP dgm len < IP Hdr len! [**]
> Fri Feb 18 12:24:12 2005:
> 02/18-12:24:11.458468
> 
> [**] [116:3:1] (snort_decoder) WARNING: IP dgm len < IP Hdr len! [**]
> Fri Feb 18 12:33:10 2005:
> 02/18-12:33:10.211143
> 
> ====================================
> 
> busque en la red, mas el único que encontré, fueron algunas otras tantas personas con las mismas dudas...

Aparentemente Snort detecta que el tamaño del Datagrama IP es menor
que el tamaño del Header del mismo, y en eso basa su error, que el
paquete podria estar mal formado. es un warning, no un error de Snort.
aunque puede ser que sea un problema de las funciones del codigo.
  DECODE_IPV4_DGRAM_LT_IPHDR_STR (geneators.h) esa es la macro de tu
error. que esta en decode.c (<broma> podrias comentar la linea del
error y recompilar snort, </broma> )



 
> Alguien tiene idea del problema ???
> y ojala como arreglarlo ???

Cambia las Reglas alguna de checksum puede que esta fallando , o 
puede que snort se este mareando con los paquetes de tu red, sea una
ranazo del programa, etc.

> se agradece enlaces sobre el tema..
> 
> bye
> 
> --
> 
> (@-     Victor Hugo dos Santos
> //\     Linux Counter #224399
> V_/_    Puerto Montt - Chile
> ====    http://www.hospitalityclub.org/
> 
> "Encontrare mi camino o me lo abrire yo mismo"
>                 -- Napoleon
> 
> 

Salu2
-- 
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]
[ http://www.fotolog.net/kush ]