Preguntas con etiqueta 'snort'

1
respuesta

¿Cómo se debe configurar una red para un servidor IDS?

Si una máquina virtual Linux está implementada con snort instalado, ¿cómo detecta el tráfico que va a todas las demás IP en la red? ¿Es necesario configurar el conmutador de red o vSwitch de cierta manera para que el servidor IDS vea todo el trá...
hecha 22.12.2016 - 19:27
1
respuesta

las reglas de snort pueden ser derrotadas por palindrome

IDS como snort usa la concordancia de cadenas o PCRE como base para las reglas. Una regla de cadena solo coincidirá con un patrón, una regla PCRE puede coincidir con una lista de patrones. Me pregunto si los piratas informáticos pueden usar P...
hecha 07.08.2016 - 17:10
1
respuesta

¿Se aplican las reglas de snort por paquete o por flujo?

¿Me gustaría saber si las reglas de snort se aplican para cada paquete en un flujo entre un origen y un destino por separado? Por ejemplo, cuando el paquete 1 del flujo llega al IDS, todas las reglas en snort se evalúan, seguidas del paquete 2,...
hecha 01.02.2016 - 22:59
1
respuesta

¿Qué hace el modificador de contenido http_uri es SNORT?

Estoy muy confundido acerca de lo que hace exactamente http_uri. ¿Puede alguien explicarme esto sin campos de uri NORMALIZADOS y NO NORMALIZADOS?     
hecha 16.07.2015 - 06:27
1
respuesta

¿Por qué no se implementan esquemas de detección de intrusos basados en anomalías en Snort?

He leído muchos artículos sobre detección de intrusiones en redes basadas en anomalías. ¿Estoy seguro de que cada una de sus técnicas podría implementarse como preprocesador Snort? Si esto es cierto, ¿por qué no hay preprocesadores de detección...
hecha 12.11.2012 - 12:35
2
respuestas

Principales diferencias entre Snort y Snort 3.0

Cuando visité el sitio web de Snort para descargar el código fuente para la compilación, encontré que había 2 descargas disponibles. Uno se tituló Snort y otro se tituló Snort 3.0 ¿Se detuvo el desarrollo de Snort y se cambió a Snort 3.0...
hecha 27.07.2017 - 17:20
2
respuestas

¿Cómo funciona la opción de flujo de Snort?

Por ejemplo, flow:established está detectando solo paquetes con sesiones conectadas. Entonces, ¿el servidor está rechazando los paquetes que se reciben después de que la sesión se desconecta?     
hecha 04.05.2017 - 08:42
1
respuesta

Snort - Regla: alertar a todas las solicitudes de php

Estoy tratando de entender las reglas de escritura para snort. Otro objetivo es la detección de inyecciones de sql como aquí . He leído la documentación de las reglas de snort y he creado esta regla: alert tcp any any -> any 80 (msg:"...
hecha 12.06.2015 - 23:07
1
respuesta

¿Qué podría ser este conjunto de alertas de IDS (DDNS deaftone.com darktech.org chatnook.com, ...)?

A continuación se muestra una pantalla de mi GUI Squert que muestra los eventos Snort . Note que todos suceden a la misma hora exacta. No puedo averiguar cuál podría ser la fuente de esto. ¿Alguna idea? Editar:parecequelosdominio...
hecha 12.01.2015 - 14:27
1
respuesta

Informe Snort: más de 1000 alertas en 1 minuto desde el puerto 5060

Me desperté esta mañana y pude ver más de 1000 de estas alertas. Llegaron en el espacio de tiempo 23:34 - 23:35. ¿Alguien puede decirme de qué se trata y debería preocuparme por un eventual ataque DDoS? Estoy ejecutando pfsense y detrás d...
hecha 26.03.2015 - 21:59