Preguntas con etiqueta 'snort'

preguntas con etiqueta
1
respuesta

¿Cómo inspeccionar el encabezado TCP - Datos opcionales con Snort?

He estado buscando pistas sobre cómo definir reglas, decodificadores o preprocesadores para poder inspeccionar el contenido de los datos opcionales del encabezado TCP (los últimos 0-40 bytes del encabezado TCP) ¿Alguna pista? ¿Snort es capaz...
hecha 14.04.2017 - 18:33
1
respuesta

Ayuda para configurar Snort en Windows 7

Estoy configurando Snort en Windows 7 con la ayuda de este chico y estoy atascado en el siguiente línea en el archivo de configuración:    Lista de servidores DNS en su red. Tengo múltiples, ¿cómo los separo? ¿Espacios, tabulaciones, co...
hecha 13.02.2012 - 21:03
1
respuesta

Registro de negativos verdaderos / falsos en Snort

Estoy usando Snort en un entorno de laboratorio con tráfico generado artificialmente. Estoy buscando construir una matriz de confusión a partir de ataques generados conocidos. Los positivos verdaderos y los positivos falsos son fáciles d...
hecha 23.11.2011 - 03:04
1
respuesta

¿Cómo uso un directorio de archivos YARA?

Estoy revisando el Malware Cookbook PEScanner y quieren una ruta a mis archivos YARA para buscar. Actualmente tengo un directorio lleno de reglas YARA para piezas conocidas de malware. ¿Cuál sería la mejor manera de ejecutar el escáner usando...
hecha 02.01.2016 - 03:00
3
respuestas

Lectura del resultado de Wireshark y recomendación de aprendizaje de seguridad

Estoy (no tan) aprendiendo actualmente sobre seguridad y ahora mismo estoy aprendiendo sobre el uso de Wireshark. Me topé con este video: enlace y una parte que me interesa es en el minuto 12.42. Es un sitio que describe el resultado en...
hecha 30.04.2012 - 16:57
1
respuesta

problemas con el protocolo SSL en OS X e iOS

Tengo una caja PfSense como UTM, ejecutando snort entre otras cosas. Comencé a notar que cuando los MacBooks y los iPhones / iPods se conectan a mi red, el registro de snort se inunda con este mensaje:    (ssp_ssl) Invalid Client HELLO despué...
hecha 27.03.2012 - 21:27
1
respuesta

Problema con la regla de Snort

alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Get2 method"; flow: to_server, established; dsize: >20; sid:1000006; priority: 15) Snort no genera ninguna alerta, mientras que cuando escribo la siguiente regla: alert tcp $HOME_NET an...
hecha 15.10.2015 - 13:55
2
respuestas

¿Cómo puedo leer los registros de snort en modo NIDS?

Estoy leyendo algunos registros de snort de un firewall, podría leer algunos con "snort -r file" Pero cuando probé los registros más recientes, obtengo este error:    snort -r snort.log       Ejecutando en modo volcado de paquetes --...
hecha 05.09.2016 - 17:33
0
respuestas

Snort: solicitud de registro basada en la respuesta

Quiero escribir una regla de Snort que registre todas las solicitudes HTTP donde la respuesta contiene una expresión regular específica. Cada regla que encontré solo registra el paquete que está evaluando actualmente (que sería la respuesta en m...
hecha 03.11.2016 - 21:24
0
respuestas

Security Onion: las alertas de Snorby muestran la IP de origen de la red local (pública y privada)

Recientemente instalé la distribución Security Onion para Ubuntu. Esta distribución hace un gran trabajo al combinar múltiples herramientas como snort / suricata, sguil, snorby, elsa, bro ids, squert, etc. Dentro de mi Security Onion, la inte...
hecha 06.05.2013 - 17:33