Preguntas con etiqueta 'snort'

preguntas con etiqueta
2
respuestas

Tráfico normal separado [cerrado]

¿Existe alguna herramienta o método para separar el tráfico normal y el tráfico malicioso de pcap? Por ejemplo: si se detecta tráfico malicioso con snort, necesito almacenar esos paquetes. Solo si hay tráfico malicioso. Gracias por responder.  ...
hecha 28.11.2014 - 02:43
0
respuestas

¿Cómo puedo encontrar amenazas / ataques desde un PCAP - Wireshark, Snort [cerrado]

Tengo un archivo pcap y estoy tratando de analizarlo usando Snort y Wireshark . Cuando probé el comando, que había mostrado a continuación, en Ubuntu se me proporcionaron varios resultados, como la fecha, la hora, e...
hecha 22.01.2015 - 17:47
0
respuestas

Regla de Snort para ataques salientes [cerrado]

Tengo un archivo pcap capturado desde una PC de usuario. Necesito analizar si ha inicializado un ataque de DOS a cualquier servidor. alert tcp any any -> any 8080 (msg:"DOS flood denial of service attempt"; flow:to_server; detection_filter:...
hecha 30.01.2015 - 20:23
1
respuesta

¿Cómo registrar los paquetes permitidos por SNORT?

Supongamos que no he escrito una regla para un tipo de ataque en SNORT; Es obvio que no mostrará ninguna alerta. ¡Quiero desarrollar un sistema en el que capturo paquetes que SNORT permite y no haga más procesamiento en esos paquetes para detect...
hecha 07.02.2014 - 07:51
0
respuestas

Snort no muestra paquetes perdidos / bloqueados

Esta pregunta es sobre SNORT: básicamente estoy tratando de detectar PING FLOOD attack .  He incluido el          regla ** (elimine icmp cualquiera cualquiera - > cualquiera cualquiera (itype: 8; umbral, seguimiento by_src, cuenta 20, segund...
hecha 06.02.2014 - 09:09
0
respuestas

Barnyard2 No se puede extraer la referencia externa del formato unificado2

He configurado Snort para registrar unified2 en mi archivo snort.conf y estoy usando barnyard2 para analizar los resultados de dos. Funciona, excepto que parece que puedo descifrar la referencia de evento (xref) de los datos. Tengo mi archivo re...
hecha 14.04.2014 - 21:55
1
respuesta

¿Hay algún caso de prueba para garantizar que el archivo snort "web-attacks.rules" funcione correctamente?

He configurado una evaluación gratuita Confluence Server en mi host local y tengo configuré "snort.conf" para que apunte a mi localhost como variable de entorno "HOME_NET". Intenté probar la regla ICMP ejecutando "ping localhost" e inmediat...
hecha 18.11.2012 - 04:02
1
respuesta

¿Cómo escribir reglas de Snort basadas en la dirección MAC?

Me gustaría crear reglas de Snort basadas en direcciones MAC en lugar de direcciones IP. La mayoría de los dispositivos en la red tienen asignado DHCP, y me gustaría ignorar cierto tráfico (por ejemplo, Dropbox) para algunos dispositivos sin ten...
hecha 15.11.2012 - 00:07
0
respuestas

Snort sfportscan no inicia sesión en el formato de archivo unificado2

Estoy ejecutando Snort versión 2.9.6.0 y no puedo registrar eventos del preprocesador sfportscan utilizando el formato de archivo dosificado. Este es el conf (en realidad es el predeterminado): preprocessor sfportscan: proto { all } memcap...
hecha 10.03.2014 - 17:45
1
respuesta

En snort alert, ¿qué significan los valores iniciales “07 / 31-16: 19: 48.614462 [**]…”?

¿Puede alguien decirme qué significan los valores iniciales en una alerta de bufido? Por ejemplo, ¿qué significa "07 / 31-16: 19: 48.614462" en la siguiente alerta 07/31-16:19:48.614462 [**] [1:86300000:1] 503 irc_bot_cmd ExampleRule XY .......
hecha 24.08.2016 - 11:26