Stateful Packet Inspection

Salut

Que fait exactement la fonction "Stateful Packet Inspection" ?

Est ce juste un controle ou un controle et blocage du paquet ?


J'ai le meme log depuis des jours sur mon serveur et je voudrais savoir ce qu'il se passe avec ces paquets :

Stateful Packet Inspection TCP ns3372.ovh.net=213.186.38.22 Port Dest:smtp=25 Src:36503


Merci

 

Hello,

Une info claire mais en Eng :
http://www.webopedia.com/TERM/S/stateful_inspection.html

 

Bonjour,

Le Stateful Packet Inspection contrôle et bloque le paquet s'il ne satisfait pas un certain critère.

Ce critère est de trouver une connexion existante à laquelle appartient le paquet.

Le TCP SPI surveille toutes les ouvertures et fermetures de connexions TCP et il conserve dans une table interne toutes les caractéristiques des connexions en cours (ce sont les infos affichées quand on appuie sur le bouton Connexions dans l'onglet journal).
Quand un paquet arrive (ou est envoyé par le PC):
- s'il s'agit d'une ouverture ou d'une fermeture de connexion la table interne est mise à jour (ajout ou suppression d'une entrée)
- s'il s'agit d'un autre paquet, le TCP SPI vérifie qu'il a bien une connexion en cours qui correspond à ce paquet. Si oui, le paquet est accepté, si non le paquet est bloqué (ce qui provoque une alerte TCP SPI dans le journal).

Pour améliorer les performances, le TCP SPI gère un nombre d'entrée maximum et limité. Si le TCP SPI ne peut ajouter une entrée alors la nouvelle connexion est jetée (et provoque une alerte TCP SPI dans le journal). Le nombre d'entrées est de 64 actuellement, ce nombre sera augmanté dans la prochaine version.
Avec des applications grosses consomatrices de connexions TCP (comme Edonkey/Emule) le nombre max d'entrées est atteint très rapidement. C'est possible qu'avec un serveur ce soit pareil si le serveur voit toutes les connexions des postes clients (c'est le cas avec ICS).

En résumé, l'alerte que vous avez est:
1- soit une vraie alerte avec un paquet reçu qui ne correspond à aucune connexion ouverte
2- soit une fausse alerte si vous avez atteint la limite du nombre de connexions ouvertes simultanément

Pour savoir dans quel cas vous êtes, plusieurs possibilités:
- examiner le détail du paquet, s'il contient le S (SYN) flag c'est que vous êtes dans le 2ème cas
- ouvrir la liste des connexions, si vous voyez un grand nombre de connexions ouvertes (64), vous êtes dans le 2ème cas
- ouvrir la console (dans les options) et appuyer sur Driver Logs, si vous voyez apparaître des "CFull" vous êtes aussi dans le 2ème case.

Cordialement,

Frédéric.

 

Merci pour ces explications

Dans connexion j'ai effectivement un liste qui doit pas être loin des 64.

Par contre je reste intrigué par ces mêmes logs, ca revient en permanence, toujours le même réseau et toujours le port 25. Comme mon serveur mail est bloqué en envoie je me demande ce que font cet ou ces ordinateurs sur le port 25 ?

Dans les logs de mon serveur mail il y a pas de traces de ces connexions, même en erreur, est ce que cela veut dire que LNS les arrète avant ?

Merci


Ps : pour quand la prochaine version LNS ?

@+

 

Salut adoc,

est-ce que tu peux me dire exactement qu'est-ce qui est écrit dans le journal? Et tu as quelle règles activées -Enhanced Rule Set ou Standard Rule Set? Et finalement quel programme de mail est-ce que tu utilises?

Salutations,

Patrice

 

Salut

J'utilises les règles évoluées.

Les lignes ressemblent toutes à ca :

D743 31/05/03.19:51:21 Stateful Packet inspection TCP ns3166.ovh.net=213.186.37.26 ports Dest:smtp=25 Src:3675

Il y a une série de 5 lignes identiques qui reviennent périodiquement toutes les 20 mn environ.

J'ai regardé dans les connexions et j'en ai compter que 42 la dernière fois que j'ai eu ces logs.

Mon serveur de mail est Argosoft Mail server, et il requiert une authentification pour l'envoi de mail et il fait également une vérification de l'éxistance du mail expéditeur dans sa base avant d'accepter l'envoi.

Merci

@+

 

Bonjour,

Il faudrait une copie d'écran du paquet complet (en double cliquant sur l'une des alertes) et le contenu de la console après avoir appuyé sur "Driver Logs" (faire "Save" et envoyer le fichier créé ou faire un copier/coller manuel de l'ensemble de la fenêtre dans un email).

Pourriez-vous envoyer l'ensemble (copie d'écran du paquet complet et les logs du driver) à looknstop@soft4ever.com.

Merci,

Frédéric.

 

Salut

C'est parti par mail.

Merci
@+