Preguntas con etiqueta 'snort'

preguntas con etiqueta
0
respuestas

las reglas de snort están habilitadas por pullpork pero al mismo tiempo se omiten?

Estoy utilizando pullpork para la gestión de reglas. He habilitado reglas de 1: 1000 a 1: 5735, esas reglas están habilitadas pero al mismo tiempo se omiten. Como salida tuve: https://github.com/shirkdog/pulledpork _____ ____...
hecha 19.07.2018 - 19:06
0
respuestas

0 reglas dinámicas leídas

Estoy ejecutando Snort como IDS en Security Onion y recibo este mensaje: 0 Dynamic rules Todos los SO_RULES se cargan en snort.conf en la ruta correcta. 25867 Snort rules read 23950 detection rules 150 decoder rules...
hecha 26.06.2018 - 10:12
2
respuestas

cómo escribir una regla de snort para alertar al tráfico que no encuentra ninguna regla coincidente

Snort en modo IDS: Si hay algo de tráfico que NO encuentra ninguna regla coincidente contra todas las reglas de Snort existentes, ¿cómo escribiría una regla de abajo para alertar a este tráfico?     
hecha 12.04.2018 - 09:32
0
respuestas

Salida de Snort.log como símbolos ilegibles

Recientemente instalé Snort IDS en Linux Ubuntu 16.04LTS (no en el servidor), después de experimentar y probar la configuración en VitualBox. Después de instalar y validar con éxito el archivo de configuración con el comando: sudo snort...
hecha 20.03.2018 - 13:52
0
respuestas

Mapeo de pcap con kibana

Estoy trabajando en un proyecto que tiene cuatro entidades (snort, logstash, elasticsearch, kibana). Estoy manteniendo el snort que se implementa en Centos 7, snort pone un metadata en el archivo de alerta (/ var / log / alert) estos datos se ex...
hecha 31.01.2018 - 14:09
0
respuestas

Usando snortsam en las reglas del preprocesador

Estoy usando snortsam para bloquear direcciones IP. No puedo usar el modo en línea y nfqueue ya que reduce considerablemente el rendimiento del tráfico de red. Actualmente estoy intentando detectar anomalías del protocolo TCP y bloquear las f...
hecha 10.10.2017 - 15:01
0
respuestas

¿Cómo usar snort para rastrear las sesiones http / https por separado?

¿Cómo puedo usar snort para desglosar el tráfico de http / https en sesiones separadas y hacer un seguimiento de cada sesión por separado y también volcarlos en archivos de registro separados o algo de lo que pueda leer?     
hecha 12.07.2017 - 09:21
0
respuestas

snort regla palabra clave detección

Soy nuevo en snort y me gustaría recibir ayuda. He editado el ranking .config, agregue una nueva línea config classification: hello,hello is detected ,1 Tuve una carga útil hello.pdf, la máquina descargó el archivo, pero Snort no está de...
hecha 07.02.2017 - 04:53
0
respuestas

Negación del protocolo de reglas Snort

Estoy intentando avisar si se transmite alguno de los otros del protocolo TCP: alert !tcp any any <> any any (Msg:"Wrong protocol!"; sid:1000041) Snort me da un error: Protocolo incorrecto:! tcp. Eso significa que el símbolo "!" no es...
hecha 28.01.2017 - 17:10
0
respuestas

Snort rules uricontent

Estoy experimentando problemas con las reglas de verificación que verificarían el comportamiento HTTP del usuario (dirección de página, parámetros POST / GET ...). alert tcp any any -> any any (msg:"Alfa in uri"; flow:to_server,established;...
hecha 10.06.2017 - 21:30