Ho una domanda su Snort (o forse su qualsiasi altro IDS / IPS, qualsiasi soluzione funzionante sarebbe ok).
L'obiettivo è impostare alcune interfacce Web che forniscano un modo per visualizzare l'intero pacchetto di flusso TCP di ciascun avviso Snort. Sono interessato solo ai pacchetti in uscita. Dite, devo impedire al mio server di rispondere con una stringa " root: x: 0: 0 ". Quindi, aggiungo una regola:
reject tcp any any -> any any (content:"root:x:0:0"; flow:to_client; msg:"attack1_to_client"; sid:31337)
e ricevi i miei avvisi registrati. Il registro degli avvisi sta diventando abbastanza veloce. E devo trovare tutte le stringhe di richieste univoche che portano a / etc / passwd disclosure e bloccare tutte queste stringhe.