Domande con tag 'snort'

1
risposta

Snort ID per la distribuzione di Amazon

Snort è una buona scelta per monitorare il traffico di applicazioni Web e di rete su Amazon EC2? In caso negativo, perché e che IDS suggeriresti? Snort è una buona scelta per monitorare XSS, Sql Injection, tentare di forzare gli account di forza...
posta 31.12.2014 - 01:07
1
risposta

Domande su snort che generano troppi eventi e non inviano a syslog

Novità per sbuffare qui. Ho scaricato snort (2.9.6.0 GRE Build 47) sulla mia Ubuntu 14.04, ho scaricato anche le regole di emergingthreat. Ho eseguito il seguente comando root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0 -A fast -s...
posta 05.07.2016 - 17:20
1
risposta

La regola Snort non funziona quando si combinano i campi "contenuto"

Sto provando a scrivere una regola snort che emette un avviso ogni volta che un server web restituisce un documento HTML contenente una stringa specifica. Ho trovato la seguente regola: alert tcp any any -> any any (msg:"Yay"; flow:to_cl...
posta 03.06.2015 - 23:48
1
risposta

Snort Rule Writing (Alert si attiva ma il traffico non corrisponde * Intended * Rule)

Ho la seguente regola: avviso tcp $ HOME_NET any > $ EXTERNAL_NET any (msg: "Questo non dovrebbe accadere"; flusso: stabilito, to_server; contenuto: "GET"; profondità: 4; contenuto: "Set-Cookie:"; http_header; within: 100; classtype: troja...
posta 27.02.2014 - 20:57
1
risposta

Problema dell'installazione di Swatch per rilevare l'intrusione

Ho installato snort e voglio usare lo strumento swatch per mandarmi una mail quando rileva qualcosa che non va. Sto usando OSX e ho seguito la guida di installazione: link Nel file .swatchrc, ho aggiunto queste righe: watchfor /Priority\:...
posta 12.11.2012 - 23:42
1
risposta

snort ignora i pacchetti con indirizzo IP src / dest corrispondente

Questa è la mia regola: alert udp 192.168.1.1 4000 -> 192.168.1.1 7000 (msg:"This rule doesn't work"; sid:1234567;) Sto facendo snort contro un file pacchetto precaricato dove ci sono pacchetti UDP che corrispondono alla regola sopra rip...
posta 24.03.2013 - 23:57
1
risposta

COMUNITÀ SIP Allargamento di messaggi TCP / IP diretto al proxy SIP

Ho installato Snort IDS e la maggior parte degli allarmi è: "COMUNITÀ SIP Allargamento dei messaggi TCP / IP diretto al proxy SIP" E io uso la connessione Internet domestica DSL, dovrei essere preoccupato per questo allarme? Ho letto...
posta 08.04.2013 - 10:25
1
risposta

Snort & Logging

Sto cercando un supporto per l'uso di Snort in Windows 7. La mia esperienza fino ad ora sta usando WireShark, quindi questa è una nuova area per me. Vorrei usare Snort per eseguire una traccia che, una volta terminata, scriverà l'output in un...
posta 02.08.2012 - 15:08
1
risposta

Classificazione degli attacchi in rete specialmente in Snort IDS

Quali sono le principali classificazioni degli attacchi in rete e specialmente in Snort IDS ?! È possibile alimentare lo Snort classificando l'attacco in 5 gruppi principali, ad esempio; R2L, U2R ecc. Che sbuffo fa nel rilevare l'attacco?     
posta 16.05.2012 - 09:16
0
risposte

Come posso ottenere Suricata in allerta su 1 pacchetto ogni volta

Sto provando a scrivere una firma Suricata a scopo di test per avvisarla ogni volta che viene attivata con un singolo file PCAP contenente un singolo pacchetto, ma ciò si sta dimostrando più difficile di quanto pensassi. Ad esempio, ho la seg...
posta 11.07.2018 - 23:44