Tengo una pregunta sobre Snort (o quizás cualquier otra IDS / IPS, cualquier solución que funcione estaría bien).
El objetivo es configurar alguna interfaz web que proporcione una forma de ver los paquetes completos de flujo TCP de cada alerta Snort. Estoy interesado en paquetes salientes solamente. Digamos que tengo que evitar que mi servidor responda con una cadena " root: x: 0: 0 ". Entonces, agrego una regla:
rechazar tcp cualquiera cualquiera - > any any (content: "root: x: 0: 0"; flow: to_client; msg: "attack1_to_client"; sid: 31337)
y obtener mis alertas registradas. El registro de alertas está creciendo bastante rápido. Y tengo que encontrar todas las cadenas de solicitud únicas que conducen a la divulgación de / etc / passwd, y bloquear todas esas cadenas.