snort

1熱

1答えて

私はpythonを初めて使っています。私がしたい、 [**] [1:2015665:1] ET CURRENT_EVENTS NeoSploit - TDS [**] [Classification: Attempted User Privilege Gain] [Priority: 1] 03/14-14:13:24.731076 192.168.52.10:1060 -> 67.196.5

0熱

1答えて

snortによるキャプチャされたバイナリファイルの受け渡し

事前取得されたバイナリファイルをsnortで解析して渡すことはできますか（最終的な目標としてフラグを立てるか検出するか）？

0熱

1答えて

キャプチャされたパケットでdos snortルールを処理する方法

alert tcp $ HOME_NET any - > $ HOME_NET 80（flags：S; msg： "可能なTCP DoS";フロー：ステートレス;しきい値：track by_src、count 70、 10秒; SID：10001; REV：1;）

0熱

1答えて

無効/不一致のHTTPヘッダーコンテンツサイズと実際のコンテンツサイズを検出するためのSnortルール

状況：攻撃者がコンテンツサイズが一致しない無効なHTTPパケットを実際のコンテンツサイズに送信する攻撃があります。私はそのようなパケットを釣り上げるためにSnortルールを書く必要があります問題：私が知る限り、SnortはユーザがSnort変数/値（ "dsize"など）を使ってルールセットを定義することを許可していません。私がやりたいことの一例は以下の通りです： alert tcp $EXTE

1熱

1答えて

snort/suricataを使用して、ホームネットワークへのログインに失敗するたびにSSHアラートを生成します。

Suricataを使用して侵入検知システム（IDS）を設定しています。私は仮想マシンにログインが失敗したときに警告を生成するカスタムルールを作成したいと思っています。例：アラートのTCP任意の任意の - > $ HOME_NET 22（MSG： "SSHブルートフォースの試み";フロー：確立、to_server;内容： "SSH"; NOCASE;オフセット：0;深さ：4; detection

0熱

1答えて

Snortのルールは、HTTP、HTTPS、および電子メール

私はHTTP、HTTPS、および電子メールを検出するために、Snortのルールを設定するにはどうすればよいのpingおよびTCP alert icmp any any -> any any (msg:"ping";sid:10000001;rev:0;) を検出するためのSnortルールを設定しましたか？

0熱

1答えて

DNS rdata/IPアドレスのルールトリガーを作成するには？

私は現在、（テスト目的のために）はSuricataに設定し、次のDNSクエリアラートルールを持っている：それは、そのようなこのパケットのように、単語「グーグル」が含まれているDNSイベントをキャプチャしたときにトリガされ alert dns any any -> any any (msg:”Test dns_query option”; dns_query; content:”google”; n

0熱

1答えて

snortのルールの目的

例えば、sfportscanプリプロセッサのようなものがある場合、scan.rulesが必要なのはなぜですか？それはプリプロセッサがすべてのアクティビティを検出できないため、一致を見つけるためにネットワーク攻撃のよく知られたシグネチャを持つルールを使用してエンジンを検出しているためですか？しかし、プリクロックの規則もありますので、今はちょっと混乱しています。プリプロセッサでは独自のルールを使用して