Le migliori snort

2

risposte

Separa il traffico normale [chiuso]

C'è qualche strumento o metodo per separare il traffico normale e il traffico malevolo da pcap? Ad esempio: se il traffico dannoso rilevato con snort ho bisogno di memorizzare quei pacchetti. Solo se il traffico dannoso. Grazie per la risposta....

posta 28.11.2014 - 02:43

0

risposte

Come posso trovare minacce / attacchi da un PCAP - Wireshark, Snort [closed]

Ho un file pcap e sto provando ad analizzarlo usando Snort e Wireshark . Quando ho provato il comando, che avevo mostrato di seguito, in Ubuntu mi sono stati forniti vari output come data, ora, host di origine, host di dest...

posta 22.01.2015 - 17:47

0

risposte

Regola di snort per attacchi in uscita [chiusa]

Ho un file pcap catturato da un PC utente. Devo analizzare se ha inizializzato un attacco DOS su qualsiasi server. alert tcp any any -> any 8080 (msg:"DOS flood denial of service attempt"; flow:to_server; detection_filter:track by_dst, coun...

posta 30.01.2015 - 20:23

1

risposta

Come registrare i pacchetti consentiti da SNORT?

Supponiamo di non aver scritto regole per un tipo di attacco in SNORT; È ovvio che non mostrerà alcun avviso. Voglio sviluppare un sistema in cui catturo i pacchetti che SNORT consente n per l'ulteriore elaborazione su quei pacchetti per rilevar...

posta 07.02.2014 - 07:51

0

risposte

Snort non mostra pacchetti rilasciati / bloccati

Questa domanda riguarda SNORT - Sto fondamentalmente cercando di rilevare attacco PING FLOOD. Ho incluso il regola ** (drop icmp any - > any any (itype: 8; threshold, track by_src, count 20, seconds; msg: "Ping flood attack rileva...

posta 06.02.2014 - 09:09

0

risposte

Barnyard2 Impossibile estrarre xref dal formato unified2

Ho snort configurato per registrare unified2 nel mio file snort.conf e sto usando barnyard2 per analizzare i risultati unified2. Funziona, a meno che non riesca a capire come estrarre il riferimento all'evento (xrif) dai dati. Ho il mio file ref...

posta 14.04.2014 - 21:55

1

risposta

Esistono casi di test per garantire che il file snort "web-attacks.rules" funzioni correttamente?

Ho creato una valutazione gratuita Confluence Server sul mio host locale e configurato "snort.conf" per puntare al mio localhost come variabile di ambiente "HOME_NET". Ho provato a testare la regola ICMP eseguendo "ping localhost" e vedo im...

posta 18.11.2012 - 04:02

1

risposta

Come scrivere regole Snort basate sull'indirizzo MAC?

Vorrei creare regole Snort basate su indirizzi MAC invece di indirizzi IP. La maggior parte dei dispositivi sulla rete sono assegnati a DHCP e vorrei ignorare determinati tipi di traffico (es: Dropbox) per alcuni dispositivi senza dover utilizza...

posta 15.11.2012 - 00:07

0

risposte

Snort sfportscan non effettua l'accesso nel formato di file unified2

Sto utilizzando la versione 2.9.6.0 di Snort e non sono in grado di registrare eventi dal preprocessore di sfportscan utilizzando il formato di file unificato2. Questo è il conf (in realtà è quello predefinito): preprocessor sfportscan: pro...

posta 10.03.2014 - 17:45

1

risposta

In snort alert cosa significano i valori iniziali "07 / 31-16: 19: 48.614462 [**] ..."?

Qualcuno può dirmi per favore cosa significa valori iniziali in un avviso di snort. Ad esempio, che cosa significa "07 / 31-16: 19: 48.614462" nel seguente avviso 07/31-16:19:48.614462 [**] [1:86300000:1] 503 irc_bot_cmd ExampleRule XY .... [...

posta 24.08.2016 - 11:26

Domande con tag 'snort'