Domande con tag 'snort'

1
risposta

Come ispezionare l'intestazione TCP - Dati opzionali con Snort?

Mi sono guardato intorno alla ricerca di indizi su come definire regole, decodificatori o preprocessori per poter esaminare i dati opzionali dell'intestazione TCP (gli ultimi 0-40 byte dell'intestazione TCP) Intestazione TCP Eventuali in...
posta 14.04.2017 - 18:33
1
risposta

Aiutare a configurare Snort su Windows 7

Sto configurando Snort su Windows 7 con l'aiuto di questo ragazzo e sono bloccato al la seguente riga nel file di configurazione: List of DNS servers on your network. Ne ho multipli, come li separo? Spazi, schede, virgole o qualcos'alt...
posta 13.02.2012 - 21:03
1
risposta

Registrazione True / False Negatives su Snort

Sto usando Snort in un ambiente di laboratorio con traffico generato artificialmente. Sto cercando di costruire una matrice di confusione dagli attacchi generati noti. I veri positivi e i falsi positivi sono facili da analizzare dal file...
posta 23.11.2011 - 03:04
1
risposta

Come si usa una directory di file YARA?

Sto esaminando il Malware Cookbook PEScanner e vogliono un percorso per i miei file YARA su cui cercare. Al momento ho una directory piena di regole YARA per pezzi di malware noti. Quale sarebbe il modo migliore per eseguire lo scanner utiliz...
posta 02.01.2016 - 03:00
3
risposte

Lettura della raccomandazione di apprendimento dei risultati e della sicurezza di Wireshark

Io sono (non così) attualmente sto imparando sulla sicurezza e in questo momento sto imparando a usare Wireshark. Mi sono imbattuto in questo video: link e una parte che mi interessa è nel minuto 12.42. È un sito che descrive il risultat...
posta 30.04.2012 - 16:57
1
risposta

Problemi con il protocollo SSL su OS X e iOS

Ho una casella PfSense come UTM, che fa sniffare tra le altre cose. Ho iniziato a notare che quando MacBook e iPhone / iPod si collegano alla mia rete, il registro snort viene inondato da questo messaggio: (ssp_ssl) Invalid Client HELLO aft...
posta 27.03.2012 - 21:27
1
risposta

Problema con la regola Snort

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get2 method"; flow: to_server, established; dsize: >20; sid:1000006; priority: 15) Snort non genera alcun avviso, mentre quando scrivo la seguente regola: alert tcp $HOME_NET any ->...
posta 15.10.2015 - 13:55
2
risposte

Come posso leggere i log snort in modalità NIDS?

Sto leggendo alcuni log snort da un firewall, potrei leggerne alcuni con "snort -r file" Ma quando ho provato i registri più recenti ottengo questo errore: snort -r snort.log Running in packet dump mode --== Initializing Snort =...
posta 05.09.2016 - 17:33
0
risposte

Snort: richiesta di registro basata sulla risposta

Voglio scrivere una regola Snort che registra tutte le richieste HTTP in cui la risposta contiene un'espressione regolare specifica. Ogni regola che ho trovato registra solo il pacchetto che sta attualmente valutando (che sarebbe la risposta nel...
posta 03.11.2016 - 21:24
0
risposte

Security Onion: gli avvisi di Snorby mostrano tutti gli IP delle sorgenti di rete locali (pubbliche e private)

Ho recentemente installato la distro di Security Onion per Ubuntu. Questa distro fa un ottimo lavoro combinando più strumenti come snort / suricata, sguil, snorby, elsa, bro id, squert, ecc. All'interno della mia Security Onion l'interfaccia...
posta 06.05.2013 - 17:33