今までになかったsnortについて語るスレ。
1 :ドロップキック@ちんこむき出し:
市販のFWソフトやBlackICEでは物足りないという、中堅クラスの人達が集うスレを立ててみました。
IDS(Intrusion Detection System)の代表的なものに、「snort」が挙げられますが、なにしろ設
定が大変そう。
そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、
みなさん積極的な参加をお待ちしております。
「以下参考」
日本snortユーザー協会
http://www.snort.gr.jp/
snortの導入
http://jem.serveftp.com/
※ ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。
※ 荒しも厳禁。
IDS(Intrusion Detection System)の代表的なものに、「snort」が挙げられますが、なにしろ設
定が大変そう。
そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、
みなさん積極的な参加をお待ちしております。
「以下参考」
日本snortユーザー協会
http://www.snort.gr.jp/
snortの導入
http://jem.serveftp.com/
※ ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。
※ 荒しも厳禁。
|
|
|
snortってなんだ、不正アクセス検知システムのことか?
3 :名無しさん@お腹いっぱい。:2005/06/11(土) 15:51:57
検知してもブロックしてくれないので・・・
4 :名無しさん@お腹いっぱい。:2005/06/19(日) 07:23:54
だけど他のルータとLANの間に立てて検知できるソフトってあるの?
5 :名無しさん@お腹いっぱい。:2005/07/02(土) 14:08:24
Snortって検知して自動で防御はしてくれるの?それとも検知だけ?
BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど
BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど
6 :名無しさん@お腹いっぱい。:2005/07/02(土) 14:19:15
俺は物は試しでsnort入れた事あるよ。
コマンド入力マンドクセなのでGDIツール落としてそれで設定したりして使ってたけど…
その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。
今は反省している。
誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも
何もかも全部日本語化してくれたら使えそう。
初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。
コマンド入力マンドクセなのでGDIツール落としてそれで設定したりして使ってたけど…
その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。
今は反省している。
誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも
何もかも全部日本語化してくれたら使えそう。
初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。
7 :名無しさん@お腹いっぱい。:2005/07/03(日) 14:41:19
8 :名無しさん@お腹いっぱい。:2005/07/07(木) 23:19:21
うーん、単純な質問であれなんだけど、結局何故BlackIceではいけないの?
試しに入れてみろ、と言われそうだが、今より何が良くなるのか
解説サイトみてもよく分からないんだよなぁ・・・
試しに入れてみろ、と言われそうだが、今より何が良くなるのか
解説サイトみてもよく分からないんだよなぁ・・・
9 :名無しさん@お腹いっぱい。:2005/07/08(金) 00:14:46
や、BlackICEでいいと思うぞ?
snortだとフリーソフトってのとWin以外のプラットフォームで
ルールセットが使い回せるってメリットはあるが。
BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。
snortだとフリーソフトってのとWin以外のプラットフォームで
ルールセットが使い回せるってメリットはあるが。
BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。
10 :名無しさん@お腹いっぱい。:2005/07/10(日) 05:38:03
おまいら、もうちょっとがんがれ。
11 :名無しさん@お腹いっぱい。:2005/07/11(月) 21:18:46
前にsnort入れてみようかと考えてたとき、snortスレ探してもなかったんだよなぁ
あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの?
あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの?
12 :名無しさん@お腹いっぱい。:2005/07/12(火) 00:30:52
春くらいからだったかな。
登録しないと落とせないようになったね。
登録しないと落とせないようになったね。
13 :名無しさん@お腹いっぱい。:2005/07/17(日) 23:42:47
登録ってか有料になったんじゃないのアレ
クレカ入力要求された・・・
誰か・・
クレカ入力要求された・・・
誰か・・
14 :sage:2005/07/18(月) 15:20:13
無料だお。ちみ達もユーザー会MLに入っとけ。
ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html
ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html
15 :名無しさん@お腹いっぱい。:2005/07/31(日) 23:11:39
●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
16 :名無しさん@お腹いっぱい。:2005/08/22(月) 00:20:23
age
17 :名無しさん@お腹いっぱい。:2005/09/08(木) 07:04:07
snort-inlineだったらファイアーオールのiptablesと連動して
防御してくれるはずだが
設定の仕方がわからんね
防御してくれるはずだが
設定の仕方がわからんね
18 :名無しさん@お腹いっぱい。:2005/09/08(木) 09:24:37
Winで動くか知らんけど、UN*Xで動かすならreactつかってRSTでたたき落とすとかできる。
PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。
PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。
19 :名無しさん@そうだ選挙に行こう:2005/09/11(日) 16:52:42
ただで済ますことに意義があるのれす
20 :名無しさん@お腹いっぱい。:2005/09/25(日) 19:33:26
てすと
21 :イケヌマ:2005/09/25(日) 19:34:40
このスレは、レベル他界の
22 :名無しさん@お腹いっぱい。:2005/09/25(日) 19:58:31
linuxは構築できたけどwinのほうは馬喰いかね
iptablesでsnort-inlineに飛ばしてdrop
clamavでも drop してくれるようだ
iptablesでsnort-inlineに飛ばしてdrop
clamavでも drop してくれるようだ
23 :名無しさん@お腹いっぱい。:2005/10/09(日) 17:49:49
買収されたしシグネチャも登録しないと公式のものは使えないし、
オープンソースではあるけど、完全にユーザの手を離れてしまったな。
他のIDS, IPSと比べても技術的優位性も特にない。
オープンソースではあるけど、完全にユーザの手を離れてしまったな。
他のIDS, IPSと比べても技術的優位性も特にない。
24 :名無しさん@お腹いっぱい。:2005/10/11(火) 02:22:27
保守
25 :名無しさん@お腹いっぱい。:2005/10/19(水) 01:22:31
鳴り物入りで始めて本まで出したSnort-jpの方々は
この現状をどうするのか知りたいなと
この現状をどうするのか知りたいなと
26 :名無しさん@お腹いっぱい。:2005/10/19(水) 19:34:51
ttp://slashdot.jp/security/05/10/19/0357246.shtml
Snort に危険な脆弱性
yooseeによる 2005年10月19日 13時00分の掲載
盾が刃に変わるとき部門より.
バグ
セキュリティ
yosshy曰く、"ITmedia の記事より。
オープンソースのネットワーク侵入検知システム「Snort」の
バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、
バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。
この脆弱性は UDP パケット1つで簡単に悪用できる上、
Back Orifice のデフォルトポート 31337/UDP に限定されないため、
ワームの拡散に繋がる恐れがあると指摘されている。
対策としては Back Orifice プリプロセッサを無効化するか、
バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。
ITmedia
ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html
Snort に危険な脆弱性
yooseeによる 2005年10月19日 13時00分の掲載
盾が刃に変わるとき部門より.
バグ
セキュリティ
yosshy曰く、"ITmedia の記事より。
オープンソースのネットワーク侵入検知システム「Snort」の
バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、
バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。
この脆弱性は UDP パケット1つで簡単に悪用できる上、
Back Orifice のデフォルトポート 31337/UDP に限定されないため、
ワームの拡散に繋がる恐れがあると指摘されている。
対策としては Back Orifice プリプロセッサを無効化するか、
バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。
ITmedia
ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html
27 :名無しさん@お腹いっぱい。:2005/10/21(金) 20:25:58
クローズドソースになる訳でなく、料金取るわけでもなく、
登録すれば今までどおり普通に使えてるし。
現状、特に気にしなくて良いんじゃね?
だから平静なんだよ。なので、23も25も、餅付け。
てか、がんがれ
登録すれば今までどおり普通に使えてるし。
現状、特に気にしなくて良いんじゃね?
だから平静なんだよ。なので、23も25も、餅付け。
てか、がんがれ
28 :名無しさん@お腹いっぱい。:2005/11/06(日) 18:25:10
>>26
# ls -l
drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3
-rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz
-rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz
そして
[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF
Len: 268
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]
>>26
>>26
# ls -l
drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3
-rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz
-rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz
そして
[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF
Len: 268
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]
>>26
>>26
29 :名無しさん@お腹いっぱい。:2005/11/06(日) 18:31:02
>>28
snortが動いてる姿は
# ps -ax | grep snort
23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno
2319 p0 D+ 0:00.01 grep snort
http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html が詳しい。
snortが動いてる姿は
# ps -ax | grep snort
23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno
2319 p0 D+ 0:00.01 grep snort
http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html が詳しい。
30 :名無しさん@お腹いっぱい。:2005/11/09(水) 11:45:18
snort入れる場合、ハードウェアの推奨スペックってどんなもんかね
CPUよりもメモリ重視の方がいいかね
できるだけ取りこぼしたくないんだが
20Mビット/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが
CPUよりもメモリ重視の方がいいかね
できるだけ取りこぼしたくないんだが
20Mビット/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが
31 :名無しさん@お腹いっぱい。:2005/11/10(木) 05:30:16
oinkmasterで ルールのアップデートは
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
な感じ。
20Mビット/secは どうやっったらわかるの?
俺のは
# dmesg | grep mem
real mem = 133799936 (130664K)
avail mem = 115466240 (112760K)
using 1658 buffers containing 6791168 bytes (6632K) of memory
# dmesg | grep cpu
cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX
cpu0: F00F bug workaround installed
cpu0 at mainbus0
と低いスペック。
[**] [1:1715:6] WEB-CGI register.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/10-04:32:54.964684 192. :64753 -> 199. :80
TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF
***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 371408 3315054125
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
な感じ。
20Mビット/secは どうやっったらわかるの?
俺のは
# dmesg | grep mem
real mem = 133799936 (130664K)
avail mem = 115466240 (112760K)
using 1658 buffers containing 6791168 bytes (6632K) of memory
# dmesg | grep cpu
cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX
cpu0: F00F bug workaround installed
cpu0 at mainbus0
と低いスペック。
[**] [1:1715:6] WEB-CGI register.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/10-04:32:54.964684 192. :64753 -> 199. :80
TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF
***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 371408 3315054125
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]
32 :名無しさん@お腹いっぱい。:2005/11/10(木) 06:03:12
>>31
https://www.snort.org/pub-bin/register.cgi で登録しないといけないよ。
今
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
に代えた。
なお4-nantara-kantara-6は https://www.snort.org/pub-bin/register.cgiのpassword だよ。
https://www.snort.org/pub-bin/register.cgi で登録しないといけないよ。
今
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
に代えた。
なお4-nantara-kantara-6は https://www.snort.org/pub-bin/register.cgiのpassword だよ。
33 :名無しさん@お腹いっぱい。:2005/11/10(木) 06:50:45
Bleeding snort rulesはどうよ?
34 :名無しさん@お腹いっぱい。:2005/11/10(木) 09:22:57
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz
wget http://www.bleedingsnort.com/bleeding.rules.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
tar xvzf bleeding.rules.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
してから
/usr/local/snort/etc/snort.conf に <
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
をくわえて、snort再起動ではどうかな
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz
wget http://www.bleedingsnort.com/bleeding.rules.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
tar xvzf bleeding.rules.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
してから
/usr/local/snort/etc/snort.conf に <
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
をくわえて、snort再起動ではどうかな
35 :名無しさん@お腹いっぱい。:2005/11/14(月) 14:58:41
いかん、bleeding.rulesをくわえるとすぐにsnortのプロセスがなくなるねー
36 :名無しさん@お腹いっぱい。:2005/11/14(月) 16:53:22
それで 次のスクリプトはどうだろか
修正希望
down=`ps -ax | grep snort | grep ascii`
if [ -z "$down" ]; then
/usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort
fi
修正希望
down=`ps -ax | grep snort | grep ascii`
if [ -z "$down" ]; then
/usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort
fi
37 :名無しさん@お腹いっぱい。:2005/11/16(水) 19:35:52
Win版のAirSnort使ってる方おります?
DWL-650使えと言うんだけど、互換チップで最近の
802.11a/b/g対応のPCカードってどんなのありますか?
家のはorinocoのドライバモードで一応動いてはいるんですけど
詳しい方おながいします
38 :名無しさん@お腹いっぱい。:2005/11/18(金) 00:08:04
まず、AirSnortとSnortは別物だと理解しているか?
39 :名無しさん@お腹いっぱい。:2005/11/19(土) 11:42:24
っていうか
12/31/04 - Cisco users on Windows should choose the DWL-650 card type
という文面から >>87 と訳してるようじゃ、使いこなせっこない。
12/31/04 - Cisco users on Windows should choose the DWL-650 card type
という文面から >>87 と訳してるようじゃ、使いこなせっこない。
40 :名無しさん@お腹いっぱい。:2005/11/20(日) 18:34:33
OSにFedoraCore3を使用しているんですが、libpcapとpcreがデフォルトではいってるんだけどこのまま使っていいのかなぁ。
ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・
あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね?
OSはインストールしたばかりの状態なんですが。
このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・
http://jem.serveftp.com/security/index.html
このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。
情報がすくないですがどなたか助言いただけないでしょうか?
ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・
あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね?
OSはインストールしたばかりの状態なんですが。
このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・
http://jem.serveftp.com/security/index.html
このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。
情報がすくないですがどなたか助言いただけないでしょうか?
41 :名無しさん@お腹いっぱい。:2005/11/20(日) 18:44:10
エスパーさん出番です。
42 :名無しさん@お腹いっぱい。:2005/11/26(土) 16:25:03
TCP SYN flood攻撃のようなDoSの簡単な対処として同一の偽造IPから短期間に大量のパケットがきたら検知できるようにしたいんですけどどんなルールにすればいいでしょうか?
それとログの出力をIPアドレスだけにってできないんですかね〜?現在調べながら設定中ですがなかなか難しいですね^^;
それとログの出力をIPアドレスだけにってできないんですかね〜?現在調べながら設定中ですがなかなか難しいですね^^;
43 :名無しさん@お腹いっぱい。:2006/01/05(木) 14:41:25
保守
44 :名無しさん@お腹いっぱい。:2006/01/13(金) 11:45:48
Snort初心者なので教えてください。
PC版をインストールしてみたのだけど、ためしに起動するときに、-iの
パラメータはどのように設定するのか教えていただけますか?。
UNIX版ではeth1とか指定してNICの指定を行うようなのですが?。
PC版をインストールしてみたのだけど、ためしに起動するときに、-iの
パラメータはどのように設定するのか教えていただけますか?。
UNIX版ではeth1とか指定してNICの指定を行うようなのですが?。
45 :名無しさん@お腹いっぱい。:2006/01/13(金) 22:03:16
snort -Wでインターフェイス番号と
実NICの対応がわかるんではないかな?
実NICの対応がわかるんではないかな?
46 :名無しさん@お腹いっぱい。:2006/01/14(土) 00:17:12
47 :名無しさん@お腹いっぱい。:2006/01/27(金) 05:33:52
すみません、ちょっと教えていただきたく。
現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが
snort.confにて
output database: log, mysql, user=xx password=xx dbname=snort host=localhost
と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている
状況です。
MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある
んですが…
何か間違っているところや設定不足なところがあるようでしたらお願いします。
ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。
現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが
snort.confにて
output database: log, mysql, user=xx password=xx dbname=snort host=localhost
と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている
状況です。
MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある
んですが…
何か間違っているところや設定不足なところがあるようでしたらお願いします。
ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。
48 :名無しさん@お腹いっぱい。:2006/01/28(土) 11:06:10
>47
1.mysqlが実は動いていない
2.mysqlにテーブルつくってない
3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して
select * from event; したら書かれてる
mysql -u xx -p snortで
show tables;
でちゃんとテーブルつくられてんの?
openaanvalがいつのまにか aanvalオンリーになっててちょっとショック
1.mysqlが実は動いていない
2.mysqlにテーブルつくってない
3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して
select * from event; したら書かれてる
mysql -u xx -p snortで
show tables;
でちゃんとテーブルつくられてんの?
openaanvalがいつのまにか aanvalオンリーになっててちょっとショック
>>48
レスありがとうございます。
1.ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは
ちゃんとMySQLにアクセスできています。
2.dumpしましたがちゃんと作られていました。
3.コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。
show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。
ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに
アクセスできることは確認しています。
レスありがとうございます。
1.ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは
ちゃんとMySQLにアクセスできています。
2.dumpしましたがちゃんと作られていました。
3.コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。
show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。
ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに
アクセスできることは確認しています。
50 :名無しさん@お腹いっぱい。:2006/01/30(月) 00:41:34
show tables;の結果は?
51 :名無しさん@お腹いっぱい。:2006/01/30(月) 00:42:08
↑誤爆
あれからsnortをコンパイルし直したり、コンフィグを1から書き直しして
みたりしたけど、結局解決せず…
結局ログを自力で解析するスクリプト作って解決させますた…
みたりしたけど、結局解決せず…
結局ログを自力で解析するスクリプト作って解決させますた…
53 :名無しさん@お腹いっぱい。:2006/03/14(火) 02:13:07
Snortから派生したのはかなり前だと記憶してるけど、一時期停滞してたHogwashが復活したようなので。
http://hlbr.sourceforge.net/index-jp.html
In-lineで動かしたSnortとはまた別のことができるのね。
http://hlbr.sourceforge.net/index-jp.html
In-lineで動かしたSnortとはまた別のことができるのね。
54 :名無しさん@お腹いっぱい。:2006/03/21(火) 04:00:19
日本Snortユーザ会、やる気ないならやめればいいのになぁ。
存在価値ないだろ。
存在価値ないだろ。
55 :名無しさん@お腹いっぱい。:2006/03/22(水) 23:13:56
FreeBSDでとりあえずsnortをインストール、さらに適当にルールを拾ってきて動かしてみました。
分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、
いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、
これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。
modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、
このへんのことが解説されている情報が見つけられなくて困っています。
ご存知名方がいらっしゃったらご教示いただければ幸いです。
(的外れなことを書いているようでしたら容赦なくご指摘ください)
分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、
いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、
これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。
modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、
このへんのことが解説されている情報が見つけられなくて困っています。
ご存知名方がいらっしゃったらご教示いただければ幸いです。
(的外れなことを書いているようでしたら容赦なくご指摘ください)
56 :名無しさん@お腹いっぱい。:2006/03/23(木) 00:59:06
>>55
シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない?
で、やりたいことはmodifysidとか設定すればできるみたいだね。
oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。
何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。
シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない?
で、やりたいことはmodifysidとか設定すればできるみたいだね。
oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。
何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。
57 :名無しさん@お腹いっぱい。:2006/03/23(木) 06:24:47
>>56
確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした)
ありがとうございました。
modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。
アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。
最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。
確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした)
ありがとうございました。
modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。
アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。
最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。
58 :名無しさん@お腹いっぱい。:2006/03/25(土) 09:55:37
snortを久しぶりに使おうといじっているんですが、
以前はダンプされるファイル名が昔はIPアドレスごとだったのに、
すべてひとつのファイルに保存されてしまって少し不便に感じています。
設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?
以前はダンプされるファイル名が昔はIPアドレスごとだったのに、
すべてひとつのファイルに保存されてしまって少し不便に感じています。
設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?
59 :名無しさん@お腹いっぱい。:2006/03/26(日) 15:37:45
>>58
話題のない日本Snortユーザ会のMLに投げろ。
話題のない日本Snortユーザ会のMLに投げろ。
60 :名無しさん@お腹いっぱい。:2006/03/29(水) 20:06:53
FreeBSD6-STABLE+PFの環境で、ゲートウェイマシンにSnort入れて使ってます。
WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは
あまりフィルタリングしていません。
先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、
WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。
(iplogは検知してます)
これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか?
もしそうならどうすればiplogのような挙動にできるでしょうか?
よろしくお願いします。
WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは
あまりフィルタリングしていません。
先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、
WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。
(iplogは検知してます)
これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか?
もしそうならどうすればiplogのような挙動にできるでしょうか?
よろしくお願いします。
61 :名無しさん@お腹いっぱい。:2006/04/07(金) 01:37:00
>>60
話題のない日本Snortユーザ会のMLに投げろ。
話題のない日本Snortユーザ会のMLに投げろ。
62 :名無しさん@お腹いっぱい。:2006/04/07(金) 12:52:14
>>60
以前、検証したら pf や ipfw などの処理をした後で
libpcap が動いているみたいだから無理だと思います。
投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。
以前、検証したら pf や ipfw などの処理をした後で
libpcap が動いているみたいだから無理だと思います。
投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。
63 :名無しさん@お腹いっぱい。:2006/06/02(金) 18:44:46
ところでみんな、snortで狙っている不正アクセスがもし見つかった場合、
どうやって検知してる?
たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を
とるときはどうやっているか、という話。
夜中にLIMEWIRE使ったユーザが3時間も4時間も居た場合、その時間同じ報告メールが大量に来るわな。
それを避けたい場合どうするかなんだが。
syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって
「指定した文字列を受信したらこうする」という設定をしていた場合、
その通信が続く限り同じ処理を繰り返すでしょ?
どうやって検知してる?
たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を
とるときはどうやっているか、という話。
夜中にLIMEWIRE使ったユーザが3時間も4時間も居た場合、その時間同じ報告メールが大量に来るわな。
それを避けたい場合どうするかなんだが。
syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって
「指定した文字列を受信したらこうする」という設定をしていた場合、
その通信が続く限り同じ処理を繰り返すでしょ?
64 :名無しさん@お腹いっぱい。:2006/06/03(土) 19:51:15
65 :名無しさん@お腹いっぱい。:2006/06/04(日) 20:27:37
>>64
snortのマニュアルってことかね?
snortのマニュアルってことかね?
66 :65:2006/06/04(日) 20:33:01
67 :名無しさん@お腹いっぱい。:2006/06/13(火) 12:34:41
WANルータ
|
|
+-----IDS(Snort)
|
|
FW
|
|
内部
WAN側をIDSで監視していると、P2Pアラートが出た。
IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。
しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。
内部からの通信は例外なくFWを通過する。
二重化したFWログサーバ両方を調べたが、無かった。
こうしたことがちょくちょくある。
考えられる要因は何だろう。
|
|
+-----IDS(Snort)
|
|
FW
|
|
内部
WAN側をIDSで監視していると、P2Pアラートが出た。
IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。
しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。
内部からの通信は例外なくFWを通過する。
二重化したFWログサーバ両方を調べたが、無かった。
こうしたことがちょくちょくある。
考えられる要因は何だろう。
68 :ORESAMA:2006/06/14(水) 10:12:46
>>67
ありえんだろそれ
ありえんだろそれ
69 :名無しさん@お腹いっぱい。:2006/06/21(水) 15:10:33
sSnortを稼動させつつ、IPLOGを稼動させるっていうのはかなり無謀でしょうかね。
CPU処理的にはMAX70%ほどで、平均で40%ほど。
CPU処理的にはMAX70%ほどで、平均で40%ほど。
70 :名無しさん@お腹いっぱい。:2006/07/11(火) 21:58:00
あっー!!
71 :_:2006/07/19(水) 10:59:19
【これは除外してもよさそうだが、どうか?】
BLEEDING-EDGE WEB Google Desktop User-Agent Detected
BLEEDING-EDGE POLICY ICQ Message
BLEEDING-EDGE POLICY MSN status change
BLEEDING-EDGE POLICY ICQ Status Change (1)
BLEEDING-EDGE POLICY Gmail Message Send
BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on
BLEEDING-EDGE POLICY Skype User-Agent detected
【これは?】
spp_rpc_decode: Incomplete RPC segment
BLEEDING-EDGE POLICY iTunes User Agent
BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture
BLEEDING-EDGE MALWARE DelFin Project User Agent
BLEEDING-EDGE Potential MySQL bot scanning for SQL server
BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host)
BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent
BLEEDING-EDGE MALWARE Target Saver Spyware User Agent
M
BLEEDING-EDGE WEB Google Desktop User-Agent Detected
BLEEDING-EDGE POLICY ICQ Message
BLEEDING-EDGE POLICY MSN status change
BLEEDING-EDGE POLICY ICQ Status Change (1)
BLEEDING-EDGE POLICY Gmail Message Send
BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on
BLEEDING-EDGE POLICY Skype User-Agent detected
【これは?】
spp_rpc_decode: Incomplete RPC segment
BLEEDING-EDGE POLICY iTunes User Agent
BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture
BLEEDING-EDGE MALWARE DelFin Project User Agent
BLEEDING-EDGE Potential MySQL bot scanning for SQL server
BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host)
BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent
BLEEDING-EDGE MALWARE Target Saver Spyware User Agent
M
72 :名無しさん@お腹いっぱい。:2006/10/19(木) 17:37:48
FC5にSnort入れたんだが、起動直後から260MBもメモリ食ってる・・・
物理メモリは2GBでこれって普通?
物理メモリは2GBでこれって普通?
73 :名無しさん@お腹いっぱい。:2006/11/13(月) 00:14:12
snort使ってる人は、ソースからインスコしてんのかな?
パッケージからDLしてもいいけど、2.3系の所が多いし
ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか
エラー吐くし・・・。2.3系で使ってても問題ないのかな?
ちなみに、鳥はdebian-sargeでつ。
パッケージからDLしてもいいけど、2.3系の所が多いし
ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか
エラー吐くし・・・。2.3系で使ってても問題ないのかな?
ちなみに、鳥はdebian-sargeでつ。
74 :名無しさん@お腹いっぱい。:2006/11/23(木) 12:49:15
pspでsnortできる?wep解析したいから
教えて、すげー人
教えて、すげー人
75 :名無しさん@お腹いっぱい。:2006/11/23(木) 15:13:34
>>74
どこからつっこんでほしい?
どこからつっこんでほしい?
76 :名無しさん@お腹いっぱい。:2006/11/23(木) 15:17:50
別にいいから教えて
77 :名無しさん@お腹いっぱい。:2006/11/23(木) 17:10:11
\ U /
\ U /
/ ̄ ̄ ヽ,
/ ', / _/\/\/\/|_
\ ノ//, {0} /¨`ヽ {0} ,ミヽ / \ /
\ / く l ヽ._.ノ ', ゝ \ < バーーカ! >
/ /⌒ リ `ー'′ ' ⌒\ \ / \
(  ̄ ̄⌒ ⌒ ̄ _)  ̄|/\/\/\/ ̄
` ̄ ̄`ヽ /´ ̄
| |
−−− ‐ ノ |
/ ノ −−−−
/ ∠_
−− | f\ ノ  ̄`丶.
| | ヽ__ノー─-- 、_ ) − _
. | | / /
| | ,' /
/ / ノ | ,' \
/ / | / \
/_ノ / ,ノ 〈 \
( 〈 ヽ.__ \ \
ヽ._> \__)
\ U /
/ ̄ ̄ ヽ,
/ ', / _/\/\/\/|_
\ ノ//, {0} /¨`ヽ {0} ,ミヽ / \ /
\ / く l ヽ._.ノ ', ゝ \ < バーーカ! >
/ /⌒ リ `ー'′ ' ⌒\ \ / \
(  ̄ ̄⌒ ⌒ ̄ _)  ̄|/\/\/\/ ̄
` ̄ ̄`ヽ /´ ̄
| |
−−− ‐ ノ |
/ ノ −−−−
/ ∠_
−− | f\ ノ  ̄`丶.
| | ヽ__ノー─-- 、_ ) − _
. | | / /
| | ,' /
/ / ノ | ,' \
/ / | / \
/_ノ / ,ノ 〈 \
( 〈 ヽ.__ \ \
ヽ._> \__)
78 :名無しさん@お腹いっぱい。:2007/03/22(木) 22:33:58
某所でsnort,mysql,barnyard,swatch,oinkmaster,Honeynet Security Console(HSC)で
システムを構築した。
オープンシステムの時代だよ・・・なんていう客のニーズに応えたつもり。
priority1の警報は、管理者にメールするように設定した。
ところが保守運用のフェーズになった今、ルールファイルの更新をどうするやら、
アラート発生時の対処法をマニュアル化しろとか・・・もう参りました。
オープンシステムを選択したのはユーザの責任、システムを構築した俺たちがそこまで
面倒を見る必要があるのか?
HSCなんてバグだらけの糞だよ! 俺たちには責任はない。でも俺たちに明日はない。
システムを構築した。
オープンシステムの時代だよ・・・なんていう客のニーズに応えたつもり。
priority1の警報は、管理者にメールするように設定した。
ところが保守運用のフェーズになった今、ルールファイルの更新をどうするやら、
アラート発生時の対処法をマニュアル化しろとか・・・もう参りました。
オープンシステムを選択したのはユーザの責任、システムを構築した俺たちがそこまで
面倒を見る必要があるのか?
HSCなんてバグだらけの糞だよ! 俺たちには責任はない。でも俺たちに明日はない。
79 :名無しさん@お腹いっぱい。:2007/03/24(土) 00:05:19
80 :名無しさん@お腹いっぱい。:2007/03/31(土) 22:18:53
Snort-users-jp の終えん。
本家のMLは活発なのになぁ。どうでもいい内容も多いけど。
本家のMLは活発なのになぁ。どうでもいい内容も多いけど。
81 :名無しさん@お腹いっぱい。:2007/04/09(月) 16:24:05
レベル高けーな。>74-77
82 :名無しさん@お腹いっぱい。:2007/04/09(月) 16:44:21
体験版収集家よりマシだろ
83 :名無しさん@お腹いっぱい。:2007/04/29(日) 13:03:47
age
84 :名無しさん@お腹いっぱい。:2007/04/29(日) 15:01:25
>>7
罵倒は簡単にできるけど的確なアドヴァイスは難しいですね
罵倒は簡単にできるけど的確なアドヴァイスは難しいですね
85 :名無しさん@お腹いっぱい。:2007/08/03(金) 18:57:11
86 :名無しさん@お腹いっぱい。:2007/08/15(水) 20:33:35
Snortって定義ファイルの更新有料化したの?
なんか、ルールダウンロードしようとしたら料金表が出てきたんだが。。。
なんか、ルールダウンロードしようとしたら料金表が出てきたんだが。。。
87 :名無しさん@お腹いっぱい。:2007/08/15(水) 22:29:52
>>86
英語読めない奴は使わなくていいってことだよ。
英語読めない奴は使わなくていいってことだよ。
88 :名無しさん@お腹いっぱい。:2007/08/15(水) 22:50:09
たかが監視だけのソフトに必死になる必要がないことに気づいた。
89 :名無しさん@お腹いっぱい。:2007/12/17(月) 02:19:14
ルータに位置するPCでhttpのPOST内容の記録と出来ればフィルタを行いたいんだが、
snort使うべきでしょか
snort使うべきでしょか
>89
検知はともかくフィルタするのは面倒くさいとおもう。
あとHTTPの通信に限るのであれば、IDS使うよりも、
WAFを使ったほうが細かい事ができる。
フィルタするなら、サーバ側にインストールする必要があるけど
Apacheのmod_securityとか。
検知はともかくフィルタするのは面倒くさいとおもう。
あとHTTPの通信に限るのであれば、IDS使うよりも、
WAFを使ったほうが細かい事ができる。
フィルタするなら、サーバ側にインストールする必要があるけど
Apacheのmod_securityとか。
91 :名無しさん@お腹いっぱい。:2008/10/05(日) 02:07:06
保守
92 :名無しさん@お腹いっぱい。:2009/02/23(月) 23:28:36
snortrules-snapshot-CURRENT.tar.gzをダウンロードしたが、
展開しようとするとエラーになる。
...
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/smtp.so
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/netbios.so
gzip: stdin: unexpected end of file
tar: アーカイブ中に予期せぬ EOF があります
tar: アーカイブ中に予期せぬ EOF があります
tar: エラーを回復できません: 直ちに終了します
家のPCから借りてるCentOSサーバにアップロードしたんだが、
これで終了してしまう。何がいけないんだろ。
展開しようとするとエラーになる。
...
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/smtp.so
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/netbios.so
gzip: stdin: unexpected end of file
tar: アーカイブ中に予期せぬ EOF があります
tar: アーカイブ中に予期せぬ EOF があります
tar: エラーを回復できません: 直ちに終了します
家のPCから借りてるCentOSサーバにアップロードしたんだが、
これで終了してしまう。何がいけないんだろ。
93 :名無しさん@お腹いっぱい。:2009/03/18(水) 19:14:53
snortで検知してkerioでフィルタする。
94 :名無しさん@お腹いっぱい。:2009/07/04(土) 02:52:35
保守的
95 :名無しさん@お腹いっぱい。:2009/08/12(水) 06:48:21
hoshu
96 :名無しさん@お腹いっぱい。:2009/08/29(土) 21:58:18
Unknown keyword ' dce_iface' in rule!
97 :bgMnaHRKmxcPuJg:2009/10/23(金) 22:12:04
This is all a bunch of very noisy people projecting their own issues concerning race onto two wannabe-gangsta robots. ,
98 :名無しさん@お腹いっぱい。:2010/04/27(火) 14:02:12
Snort 2.8.6 リリース
99 :名無しさん@お腹いっぱい。:2010/04/28(水) 22:54:49
100 :名無しさん@お腹いっぱい。:2010/12/12(日) 22:51:42
so_rulesってなに?
なにしてるもの?
なにしてるもの?
101 :名無しさん@お腹いっぱい。:2010/12/13(月) 00:55:45
>>100
RTFM
RTFM
>>1
MLが閉鎖してるな
MLが閉鎖してるな
103 :名無しさん@お腹いっぱい。:2012/02/22(水) 20:23:10.89
104 :名無しさん@お腹いっぱい。:2012/02/22(水) 22:33:16.56
105 :名無しさん@お腹いっぱい。:2012/02/22(水) 22:36:14.77
SuricataはGPUで処理をオフロードできるらしいから、パフォーマンスは高い可能性があるけどね。
でも、SnortもIntelの何とかってチップを使ってオフロードする機能があったはずだから、
大きなアドバンテージにはならないかも。
IDSを仕事にしてるけど、客の対応におっさん疲れた。
でも、SnortもIntelの何とかってチップを使ってオフロードする機能があったはずだから、
大きなアドバンテージにはならないかも。
IDSを仕事にしてるけど、客の対応におっさん疲れた。
106 :名無しさん@お腹いっぱい。:2012/06/22(金) 21:27:52.78
だれか、whitelist.rules を使っている人いませんか?
このリストで、検出した Alert を非表示にしたいのだけどうまくいきません。
ひょっとして機能自体ない?
このリストで、検出した Alert を非表示にしたいのだけどうまくいきません。
ひょっとして機能自体ない?
107 :名無しさん@お腹いっぱい。:2012/06/24(日) 17:04:39.10
>>106
何をどうやってうまくいかないのか書かないとダメだろ。
何をどうやってうまくいかないのか書かないとダメだろ。
108 :名無しさん@お腹いっぱい。:2012/10/09(火) 16:23:08.72
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
ソウカ
死・ね
109 :名無しさん@お腹いっぱい。:2013/04/04(木) 19:02:06.99
Snort 2.9.4.5
リリース
リリース
110 :名無しさん@お腹いっぱい。:2013/05/09(木) 18:20:27.04
Snort(本家)のアカウントは、どこから退会するんですか?
メールで退会依頼ですか?
メールで退会依頼ですか?
111 :名無しさん@お腹いっぱい。:2014/05/19(月) 08:52:04.39
IDSが検知だけ、IPSが防御までしてくれるんじゃなかったっけ?
112 :名無しさん@お腹いっぱい。:2014/09/23(火) 22:38:07.04
んなアホな
113 :名無しさん@お腹いっぱい。:2014/09/27(土) 17:24:14.05
711
114 :名無しさん@お腹いっぱい。:2014/09/28(日) 15:51:38.42
537
115 :名無しさん@お腹いっぱい。:2014/09/30(火) 23:48:50.18
rejectでパケット弾けるんだからIPSだろ、snort
116 :名無しさん@お腹いっぱい。:
2