snort regola per rilevare il tentativo di relay non funzionante

0

Sto cercando di rilevare un tentativo di inoltro su server smtp, ma non viene eseguito alcun log quando lo provo. La regola dello snort per rilevare un tentativo di relay che ho provato ad usare è:

alert tcp $SMTP_SERVERS 25 -> any any (msg: "Possible relay attempt"; flow:to_client; content:"Relay access denied"; sid:1000007;)
    
posta synthesis 29.01.2016 - 21:11
fonte

1 risposta

1

La modifica di checksum_mode su none nel file snort.conf ( config checksum_mode: none ) risolve il problema e ora è possibile visualizzare gli avvisi per la regola di inoltro nel mio file di registro.

    
risposta data 30.01.2016 - 16:32
fonte

Leggi altre domande sui tag