#snort

konto usunięte 13.05.2021, 11:19:03

elo, jest tu jakiś ekspert od Snorta?
zastanawiam się jak zrobić rulkę na wykrycie nmapa, wskazałby ktoś drogę jak to ugryźć za pomocą nagłówków active/dynamic?

#siecikomputerowe #sieci #sysadmin #security #snort #it

GallAkronim

13.05.2021, 13:05:20 via iOS

@MaxVerstapen: W User-Agent zawsze masz Nmap Scripting Engine lub nmap.org wiec poprostu napisz regexa na te napisy i masz po robocie, potem odpal nmapa sprawdź czy złapało i juz

M.....n

konto usunięte 13.05.2021, 13:11:24

@GallAkronim: biorąc pod uwagę że mój snort nie lubi się z opcjonalnym parametrem "contain" może być ciężko, ale ostatecznie jak ktoś mi pomoże to tak zrobię

Finalna wersja Snort3 po siedmiu latach rozwoju wreszcie wypuszczona!

Dla przypomnienia Snort to bardzo popularne rozwiązanie klasy IPS/IDS dostępne w modelu OpenSource. Całość została stworzona od zera, ale na podstawie doświadczeń ze Snortem2. No dobrze, ale co ciekawego mamy w Snorcie3 (w porównaniu z 2)? Po pierwsze wielowątkową analizę pakietów...

z dodany: 25.01.2021, 15:59:55

kiboq

03.11.2017, 10:31:16

Zna się ktoś na #pfsense i #snort? Snort wyświetla mi pełno komunikatów, które wypisałem poniżej. Odnoszą się one do popularnych stronek typu Onet, Allegro, itp. Dodałem już ze 100 IP do listy suppress, ale to walka z wiatrakami bo problem dotyczy połowy odwiedzanych stron, a każdy wie ile tego jest. I teraz pytanie czy mogę dodać całe te komunikaty do filtra żeby nie zawracały d--y czy może

dridex

03.11.2017, 11:07:05

INVALID CONTENT-LENGTH OR CHUNK SIZE

@kiboq: długość przesyłanych danych jest różna od informacji w nagłówku Content-Length

https://forum.pfsense.org/index.php?topic=62605.0

K.....i

konto usunięte 05.05.2017, 23:40:01

#linux #snort

Mirki, wie ktos jak ustawic Snort'a do logowania wszystkich pakietow, z alarmem na dwoch portach we wspolpracy z firewallem? Bazy danych trzeba stawiac?

c.....o

konto usunięte 06.05.2017, 10:27:00

@K_o_w_a_l_s_k_i: Próbowałeś szukać w dokumentacji?

K.....i

konto usunięte 06.05.2017, 17:39:43 via Android

@canto Jak nikt tego nie robil to bd musiec

Piorrroger

25.02.2016, 11:10:02

Znajdę tu kogoś, kto grzebał w #snort #ids ?
#it

reddin

24.09.2014, 09:15:16

Mirasy pytanie, jak to rozumieć? To jest alert ze SNORTa

[] [1:486:4] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited []

[Classification: Misc activity] [Priority:

brokenik

24.09.2014, 10:01:28

@reddin: Ja tu widzę, że po prostu masz wyłączoną komunikację ICMP stąd SNORT Ci wysyła powiadomienie, że taki ruch się gdzieś pojawił. Z tego co widzę to nic groźnego.

brokenik

24.09.2014, 10:10:25

@reddin: Nie powinieneś wyłączać całego ICMP. ICMP poza pingiem ma też ważne pakiety takie jak Destination Unreachable właśnie oraz Source Quench.

Odpowiedź na wszystkie pytania.

The wizzard from Bean

z dodany: 28.02.2012, 17:41:37