Preguntas con etiqueta 'snort'

2
respuestas

reglas de Snort para detectar sesiones de Meterpreter

Estoy aprendiendo mientras configuro Snort, mi configuración consiste en un atacante (Linux), una víctima (teléfono inteligente Android) y un sistema de detección (IDS). Hasta ahora, he podido registrar todos los paquetes entre el atacante y la...
hecha 14.07.2016 - 07:03
1
respuesta

Snort detection_filter no alerta

Estoy intentando implementar una alerta de ataque de inundación simple usando esta regla: alert tcp any any <> any any (msg:"Flooding attack!";detection_filter:track by_dst, count 4, seconds 1; sid:1000036) Incluso si tengo un...
hecha 18.01.2017 - 13:10
1
respuesta

Documentación sobre reglas de Snort y ajuste de alertas, especialmente para usuarios nuevos

Acabo de empezar a usar Snort. Hay mucho por hacer. Solo estoy buscando una mejor documentación de lo que realmente significan algunas de las reglas de Snort, es decir, cómo debo reaccionar ante ellas cuando aparece una alerta para una determina...
hecha 17.02.2016 - 17:26
2
respuestas

¿La instalación de Snort puede hacerme vulnerable?

Estoy usando Ubuntu y me pregunto si instalar Snort en mi host puede hacerme más vulnerable.     
hecha 11.08.2014 - 14:24
4
respuestas

Beneficio de usar dos interfaces de red para el sistema de detección de intrusos

¿Cuál es el beneficio de usar dos interfaces de red (interfaz de administración e interfaz de rastreo) para un IDS como Snort? He utilizado un Snort IDS donde solo usaba una interfaz de red para administración y rastreo, y parecía funcionar bien...
hecha 10.06.2018 - 22:05
3
respuestas

Umbral para DDOS Attack

Estoy tratando de entender y simular los ataques SYN Flood DDOS. Estoy usando snort para darme alertas. Si bien tengo control sobre la tasa de mis pruebas, me interesa saber cuál sería una buena estimación de la tasa de tráfico para un ataque re...
hecha 01.11.2018 - 19:48
1
respuesta

Solicitud de salida TFTP al 255.255.255.255

Recientemente, Snort me notificó que tengo una computadora de usuario en mi red que está iniciando una solicitud TFTP saliente. Lo extraño es que el destino es 255.255.255.255 ¿Alguien tiene una idea de lo que puede ser? Cargas útiles recu...
hecha 03.07.2012 - 17:15
3
respuestas

Registrar ataques en diferentes archivos usando Snort

¿Cómo puedo registrar ataques por separado usando snort? Básicamente quiero registrar ataques invocados desde diferentes archivos por separado. Al igual que si tengo 2 archivos, ddos.rules y log.rules , quiero que los registros se g...
hecha 15.02.2014 - 12:03
2
respuestas

¿Puede tener 2 puertos promiscuos (de rastreo) en una sola máquina?

Me pregunto si realmente puede tener 2 (o más) puertos promiscuos (de rastreo) en una sola máquina, para monitorear múltiples segmentos de red. ¿Y puedes monitorearlos todos con snort?     
hecha 18.03.2011 - 02:08
2
respuestas

Tomando acción para intentos de explotación

Recientemente, he visto que he recibido aproximadamente 40 aciertos en un segundo para la siguiente identificación de la regla de Snort 1: 16008 , que corresponde al CVE-2007- 6239 : "... permite a los atacantes remotos causar una denegación d...
hecha 25.09.2012 - 14:01