Preguntas con etiqueta 'snort'

preguntas con etiqueta
1
respuesta

Snort IDS para la implementación de Amazon

¿Snort es una buena opción para monitorear el tráfico de aplicaciones web y de red en Amazon EC2? Si no, ¿por qué y qué IDS sugerirías? ¿Snort es una buena opción para monitorear XSS, Sql Injection, intentar atacar a las cuentas de fuerza bruta...
hecha 31.12.2014 - 01:07
1
respuesta

Preguntas sobre snort generando demasiados eventos y no enviando a syslog

Nuevo para snort aquí. Descargué snort (2.9.6.0 GRE Build 47) en mi Ubuntu 14.04, también descargué las reglas de amenazas emergentes. Ejecuté el siguiente comando root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0 -A fast -s -y -c...
hecha 05.07.2016 - 17:20
1
respuesta

La regla de Snort no funciona cuando se combinan campos de "contenido"

Estoy intentando escribir una regla de snort que genera una alerta cada vez que un servidor web devuelve un documento HTML que contiene una cadena específica. Se me ocurrió la siguiente regla: alert tcp any any -> any any (msg:"Yay"; flo...
hecha 03.06.2015 - 23:48
1
respuesta

Escritura de reglas Snort (La alerta se dispara pero el tráfico no coincide con la regla * Intended *)

Tengo la siguiente regla: alerta tcp $ HOME_NET cualquier > $ EXTERNAL_NET any (msg: "Esto no debería ocurrir"; flow: establecido, to_server; contenido: "GET"; profundidad: 4; contenido: "Set-Cookie:"; http_header; en: 100; classtype: troj...
hecha 27.02.2014 - 20:57
1
respuesta

Problema con la instalación de Swatch para detectar intrusiones

Instalé snort y quiero usar la herramienta de muestras para enviarme un correo electrónico cuando detecte que algo va mal. Estoy usando OSX y seguí la guía de instalación: enlace En el archivo .swatchrc, agregué estas líneas: watchfor /Pr...
hecha 12.11.2012 - 23:42
1
respuesta

snort ignora los paquetes con la dirección IP de src / dest coincidente

Esta es mi regla: alert udp 192.168.1.1 4000 -> 192.168.1.1 7000 (msg:"This rule doesn't work"; sid:1234567;) Estoy ejecutando snort contra un archivo de paquete precapturado donde hay paquetes UDP que coinciden con la regla dada anterio...
hecha 24.03.2013 - 23:57
1
respuesta

Inundación de mensajes TCP / IP SIP COMUNITARIOS dirigida al proxy SIP

He instalado Snort IDS y la mayoría de las alarmas son: "Inundación de mensajes TCP / IP COMUNITARIOS SIP dirigidos al proxy SIP" Y uso conexión a Internet DSL en casa, ¿debería preocuparme por esta alarma? He leído este artículo, p...
hecha 08.04.2013 - 10:25
1
respuesta

Snort & Logging

Estoy buscando ayuda para usar Snort en Windows 7. Mi experiencia hasta ahora es usar WireShark, por lo que este es un nuevo territorio para mí. Me gustaría usar Snort para realizar un seguimiento que, una vez que finalice, escribirá la salid...
hecha 02.08.2012 - 15:08
1
respuesta

Clasificación de ataques en red, especialmente en Snort IDS

¡¿Cuáles son las principales clasificaciones de ataques en red y especialmente en Snort IDS ?! ¿Es posible encender el Snort clasificando el ataque en 5 grupos principales, por ejemplo; R2L, U2R etc. ¿Qué resopla hace al detectar el ataque?    ...
hecha 16.05.2012 - 09:16
0
respuestas

¿Cómo puedo hacer que Suricata avise en 1 paquete cada vez?

Estoy tratando de escribir una firma de Suricata con fines de prueba para alertar cada vez que se activa con un solo archivo PCAP que contiene un solo paquete, pero esto está demostrando ser más difícil de lo que pensé. Por ejemplo, tengo la...
hecha 11.07.2018 - 23:44