Freesco, NND, CDN, EOS
http://forum.freesco.pl/

snort
http://forum.freesco.pl/viewtopic.php?f=27&t=5124		 Strona 1 z 1
Autor:  Koriolan [ czwartek, 12 sierpnia 2004, 16:05 ]
Tytuł:  snort
Snort ver.2.1.3. IDS (Intruder Detec.. System)
System wykrywania włamań. Jak ktoś wie o co chodzi to wie co to jest.
Paczka jest tu :
http://www.pitsoft.pl/nnd/download/NND_pakiety/snort/
Często grzebię w swoim DNS'sie więc jeszcze jeden URL:
http://195.116.234.1/nnd/download/NND_pakiety/snort/

Jako premia dla ciekawskich md5sum
http://195.116.234.1/nnd/download/NND_pakiety/md5sum/

Jakby coś z URLami było nie tak proszę o kontakt.

Wiem, że jest już snort 2.2.0. ale może niech inni bedą pionierami ....

Miłej zabawy.
Autor:  Andy_GC [ piątek, 13 sierpnia 2004, 11:20 ]
Tytuł: 
Witam,
mam kilka pytań związanych z tematem
1. Jak moderatorzy i admini oceniają Snort vis Portsentry? Który z nich lepiej spełnia swoje zadania, gdyż wiadomo, że mają zupełnie inną zasade działania?
2. Który z nich mniej obciąża serwer?
3. Jak Snort współpracuje z firewallem Zciech'a?

Pozdrawiam
Autor:  Koriolan [ piątek, 13 sierpnia 2004, 12:11 ]
Tytuł: 
Ad.1) PortSentry 'ogólnie' broni jednego kompa Snort całą sieć.
Ad.2) Nie porównywałem. U mnie snort bez problemu na Celeronie ~300MHz/128MB RAM/dyk 3-4GB.
Ad.3) Snort to olewa; idzie górą (lub dołem zależy jak patrzeć).
Autor:  Andy_GC [ piątek, 13 sierpnia 2004, 12:51 ]
Tytuł: 
Serdeczne dzięki :D , dziś się z tym pobawię.
Autor:  Andy_GC [ sobota, 14 sierpnia 2004, 17:48 ]
Tytuł: 
Witam,
uruchomienie Snort'a poszło bez problemów :D , teraz zobaczymy jak sie będzie sprawował.
Pozdrawiam
Autor:  passy [ sobota, 14 sierpnia 2004, 18:13 ]
Tytuł: 
Ze snortem wszystko OK, tylko jest problem, bo niebardzo kumam co sie w logach pokazuje. Np:
: [/] [] ()
08/12-23:25:35.080392  [**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**] {TCP}
80.53.38.193:1775 -> 62.233.142.31:80
08/12-23:25:38.720409  [**] [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER [**] {TCP} 80.
53.38.193:1775 -> 62.233.142.31:80
08/13-00:13:38.750537  [**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**] {TCP} 80
.53.38.193:1109 -> 212.77.100.1:80
GeSHi © Codebox Plus
Autor:  Koriolan [ poniedziałek, 16 sierpnia 2004, 13:03 ]
Tytuł: 
passy pisze:
Ze snortem wszystko OK, tylko jest problem, bo niebardzo kumam co sie w logach pokazuje. Np:
: [/] [] ()
08/12-23:25:35.080392  [**] [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING [**] {TCP}
80.53.38.193:1775 -> 62.233.142.31:80
08/12-23:25:38.720409  [**] [119:13:1] (http_inspect) NON-RFC HTTP DELIMITER [**] {TCP} 80.
53.38.193:1775 -> 62.233.142.31:80
08/13-00:13:38.750537  [**] [119:16:1] (http_inspect) OVERSIZE CHUNK ENCODING [**] {TCP} 80
.53.38.193:1109 -> 212.77.100.1:80
GeSHi © Codebox Plus


Odpowiedź a jednocześnie porada dla wszystkich :

W/g mojego skryptu snort uruchamia sie w trybie 'oszczędne' alertowanie.
W pliku /etc/rc.d/rc.snorf można zmienić '-A fast' na '-A full'. W logach powinno być więcej informacji z adresem strony opisującej alert.

Generalnie:
Snorta jak piszecie uruchomić jest prosto ale poprawna konfiguracja to już całkiem co innego. TRZEBA SIE TROCHĘ NABIEDZIĆ (w googlach snort).
Autor:  sp5rh [ czwartek, 26 sierpnia 2004, 21:28 ]
Tytuł:  snort
deinstalacja snort'a spowodowala oczyszczenie /var/install... :cry:
Autor:  Koriolan [ piątek, 27 sierpnia 2004, 10:50 ]
Tytuł: 
Niemozliwe....
Zaraz sprawdzę :-(
Autor:  Koriolan [ sobota, 28 sierpnia 2004, 13:51 ]
Tytuł: 
Niestety uwaga okazała się słuszna ...
Deinstalator mógł skasować pliki z /var/install.
Jest już poprawiona wersja.

Przepraszam wszystkich którzy mieli problemy podobne jak sp5rh.
Testowałem snorta na wersji z NND stawianej tylko do tych testów i akurat install był pusty poza plikami snorta :-(.

Odzyskać te pliki można odzyskać kopiując pliki instalacujne i deinstalacyjne z paczek. Potrzebne są zwłaszcza pliki które traktują install jak konfiguracje np. mrtg.

Jeszcze raz sorry ...
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/