Preguntas con etiqueta 'snort'

preguntas con etiqueta
1
respuesta

¿Cómo asigno la información en la salida de snort u2spewfoo a la regla que activó la alerta?

Tengo un archivo de registro de snort en formato unificado2 y puedo ver la salida usando la utilidad u2spewfoo. Creo que entiendo que la identificación del generador, la identificación de la firma y la revisión me dicen por qué se generó la a...
hecha 11.03.2018 - 14:50
0
respuestas

snort file_inspect firma que funciona de manera inconsistente [cerrado]

Estoy probando el archivo snorts inspeccionar el preprocesador para bloquear los archivos entrantes de sus sha256sums. Estoy usando la versión 2.9.9.0 de snort con modo en línea daq nfq y mis configuraciones de preprocesador de file_inspect se m...
hecha 11.09.2017 - 14:53
0
respuestas

Detección de tráfico de invitado a invitado en Virtualbox mediante Host que ejecuta Snort

No estoy seguro de si esta es una pregunta simple, pero esperaba algo de información para terminar un laboratorio pentest. Mi objetivo es que Snort detecte un ataque en un entorno virtual entre dos máquinas virtuales invitadas. Mi configuración...
hecha 07.06.2017 - 16:02
2
respuestas

Cómo detectar sesiones SSH de larga duración

Estoy tratando de encontrar una manera de detectar sesiones ssh que se hayan establecido durante un largo período de tiempo. Me parece recordar que había formas de detectar conexiones tcp que han estado conectadas durante mucho tiempo, pero no r...
hecha 06.08.2017 - 23:27
0
respuestas

Snort genera una alerta que está vacía [cerrada]

Estoy trabajando con comandos que ya han sido probados para funcionar, pero no están funcionando ahora. Este es mi archivo de configuración: alert tcp any any <> any any (msg: "/etc/passwd Payload Found"; content: "/etc/passwd/"; sid:...
hecha 15.04.2017 - 04:01
0
respuestas

¿Cómo registrar solo el encabezado TCP usando la línea de comandos en snort o nmap? [cerrado]

Trabajo con el archivo de registro de snort y ahora necesito extraer el encabezado TCP. Mi pregunta es: ¿Cómo registrar solo el encabezado TCP de los paquetes capturados por el archivo de registro de snort (sin la carga útil) usando la línea...
hecha 01.06.2017 - 06:06
0
respuestas

Firma generada por Honeyd "Honeycomb" no es aceptada por Snort IPS

Publiqué esto en SO [ enlace ¿es este el tema aquí? ¿Qué tendría que hacer con mi pregunta? Estoy haciendo un proyecto que necesita usar el plugin "Honeyd" y "Honeycomb" en pcA. Así que pcB actuará como un atacante para atacar el honeypot y...
hecha 20.06.2017 - 19:16
0
respuestas

Error de regla Regex personalizada de SourceFire / Snort / FirePower

Recibo un error unknown/extra pcre option encountered al intentar guardar mi regla personalizada. ^([A-HK-PRSVWY][A-HJ-PR-Y])\s?([0][2-9]|[1-9][0-9])\s?[A-HJ-PR-Z]{3}$ La regla es hacer coincidir los registros de vehículos del Reino...
hecha 07.04.2017 - 01:12
0
respuestas

Estructura de datos de reglas de Snort

el programa IDS Snort usa una lista enlazada para organizar las reglas (ORT / OTN). Esta lista se utiliza en tiempo de ejecución. ¿Cómo es posible ver esta estructura de datos en tiempo de ejecución? Cualquier consejo sería útil. Graci...
hecha 14.03.2017 - 17:40
0
respuestas

Detección de escaneo de huellas dactilares de Snort Show OS

cuando ejecuto el escaneo de huellas dactilares del sistema operativo con nmap, no sé cómo detectar esto con las reglas de snort. ¿Puede sugerir un método para que las reglas detecten esto?     
hecha 05.12.2016 - 07:26