1read 100read
2012年3月セキュリティ205: 今までになかったsnortについて語るスレ。 (105)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
個人情報保護士 試験受けた人の集まるスレ (169)
【FWと併用】System Safety Monitor Part8 (439)
X-GUARD Part4 (212)
【無料】 フリーセキュリティの組合せ 16 (221)
ウイルスバスター・ウイルスセキュリティZERO・キングソフトどれがいい? (474)
スパイウェアソフトJaneStyle (627)
今までになかったsnortについて語るスレ。
1 :05/06/10 市販のFWソフトやBlackICEでは物足りないという、中堅クラスの人達が集うスレを立ててみました。 IDS(Intrusion Detection System)の代表的なものに、「snort」が挙げられますが、なにしろ設 定が大変そう。 そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、 みなさん積極的な参加をお待ちしております。 「以下参考」 日本snortユーザー協会 http://www.snort.gr.jp/ snortの導入 http://jem.serveftp.com/ ※ ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。 ※ 荒しも厳禁。
2 :05/06/10 snortってなんだ、不正アクセス検知システムのことか?
3 :05/06/11 検知してもブロックしてくれないので・・・
4 :05/06/19 だけど他のルータとLANの間に立てて検知できるソフトってあるの?
5 :05/07/02 Snortって検知して自動で防御はしてくれるの?それとも検知だけ? BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど
6 :05/07/02 俺は物は試しでsnort入れた事あるよ。 コマンド入力マンドクセなのでGDIツール落としてそれで設定したりして使ってたけど… その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。 今は反省している。 誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも 何もかも全部日本語化してくれたら使えそう。 初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。
7 :05/07/03 >>6 英語嫁内定脳が、コマンド入力マンドクセって言い訳してるだけかよ。
8 :05/07/07 うーん、単純な質問であれなんだけど、結局何故BlackIceではいけないの? 試しに入れてみろ、と言われそうだが、今より何が良くなるのか 解説サイトみてもよく分からないんだよなぁ・・・
9 :05/07/08 や、BlackICEでいいと思うぞ? snortだとフリーソフトってのとWin以外のプラットフォームで ルールセットが使い回せるってメリットはあるが。 BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。
10 :05/07/10 おまいら、もうちょっとがんがれ。
11 :05/07/11 前にsnort入れてみようかと考えてたとき、snortスレ探してもなかったんだよなぁ あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの?
12 :05/07/12 春くらいからだったかな。 登録しないと落とせないようになったね。
13 :05/07/17 登録ってか有料になったんじゃないのアレ クレカ入力要求された・・・ 誰か・・
14 :05/07/18 無料だお。ちみ達もユーザー会MLに入っとけ。 ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html
15 :05/07/31 ●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●● ウイルス対策ソフトの検出力結果 http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html ●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●
16 :05/08/22 age
17 :05/09/08 snort-inlineだったらファイアーオールのiptablesと連動して 防御してくれるはずだが 設定の仕方がわからんね
18 :05/09/08 Winで動くか知らんけど、UN*Xで動かすならreactつかってRSTでたたき落とすとかできる。 PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。
19 :05/09/11 ただで済ますことに意義があるのれす
20 :05/09/25 てすと
21 :05/09/25 このスレは、レベル他界の
22 :05/09/25 linuxは構築できたけどwinのほうは馬喰いかね iptablesでsnort-inlineに飛ばしてdrop clamavでも drop してくれるようだ
23 :05/10/09 買収されたしシグネチャも登録しないと公式のものは使えないし、 オープンソースではあるけど、完全にユーザの手を離れてしまったな。 他のIDS, IPSと比べても技術的優位性も特にない。
24 :05/10/11 保守
25 :05/10/19 鳴り物入りで始めて本まで出したSnort-jpの方々は この現状をどうするのか知りたいなと
26 :05/10/19 ttp://slashdot.jp/security/05/10/19/0357246.shtml Snort に危険な脆弱性 yooseeによる 2005年10月19日 13時00分の掲載 盾が刃に変わるとき部門より. バグ セキュリティ yosshy曰く、"ITmedia の記事より。 オープンソースのネットワーク侵入検知システム「Snort」の バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、 バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。 この脆弱性は UDP パケット1つで簡単に悪用できる上、 Back Orifice のデフォルトポート 31337/UDP に限定されないため、 ワームの拡散に繋がる恐れがあると指摘されている。 対策としては Back Orifice プリプロセッサを無効化するか、 バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。 ITmedia ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html
27 :05/10/21 クローズドソースになる訳でなく、料金取るわけでもなく、 登録すれば今までどおり普通に使えてるし。 現状、特に気にしなくて良いんじゃね? だから平静なんだよ。なので、23も25も、餅付け。 てか、がんがれ
28 :05/11/06 >>26 # ls -l drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3 -rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz -rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz そして [**] [1:1384:8] MISC UPnP malformed advertisement [**] [Classification: Misc Attack] [Priority: 2] 11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900 UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF Len: 268 [Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723] >>26 >>26
29 :05/11/06 >>28 snortが動いてる姿は # ps -ax | grep snort 23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno 2319 p0 D+ 0:00.01 grep snort http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html が詳しい。
30 :05/11/09 snort入れる場合、ハードウェアの推奨スペックってどんなもんかね CPUよりもメモリ重視の方がいいかね できるだけ取りこぼしたくないんだが 20Mビット/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが
31 :05/11/10 oinkmasterで ルールのアップデートは cd /tmp wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz tar xvzf snortrules-snapshot-2.4.tar.gz cp /tmp/rules/* /usr/local/snort/rules/ な感じ。 20Mビット/secは どうやっったらわかるの? 俺のは # dmesg | grep mem real mem = 133799936 (130664K) avail mem = 115466240 (112760K) using 1658 buffers containing 6791168 bytes (6632K) of memory # dmesg | grep cpu cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX cpu0: F00F bug workaround installed cpu0 at mainbus0 と低いスペック。 [**] [1:1715:6] WEB-CGI register.cgi access [**] [Classification: access to a potentially vulnerable web application] [Priority: 2] 11/10-04:32:54.964684 192. :64753 -> 199. :80 TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF ***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32 TCP Options (3) => NOP NOP TS: 371408 3315054125 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]
32 :05/11/10 >>31 https://www.snort.org/pub-bin/register.cgi で登録しないといけないよ。 今 cd /tmp wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz tar xvzf snortrules-snapshot-2.4.tar.gz cp /tmp/rules/* /usr/local/snort/rules/ に代えた。 なお4-nantara-kantara-6は https://www.snort.org/pub-bin/register.cgi のpassword だよ。
33 :05/11/10 Bleeding snort rulesはどうよ?
34 :05/11/10 cd /tmp wget http://www.snort.org/pub-bin/oinkmaster.cgi/4 ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz wget http://www.bleedingsnort.com/bleeding.rules.tar.gz tar xvzf snortrules-snapshot-2.4.tar.gz tar xvzf bleeding.rules.tar.gz cp /tmp/rules/* /usr/local/snort/rules/ してから /usr/local/snort/etc/snort.conf に < include $RULE_PATH/bleeding-attack_response.rules include $RULE_PATH/bleeding-dos.rules include $RULE_PATH/bleeding-exploit.rules include $RULE_PATH/bleeding-game.rules include $RULE_PATH/bleeding-inappropriate.rules include $RULE_PATH/bleeding-malware.rules include $RULE_PATH/bleeding-p2p.rules include $RULE_PATH/bleeding-policy.rules include $RULE_PATH/bleeding-scan.rules include $RULE_PATH/bleeding-virus.rules include $RULE_PATH/bleeding-web.rules をくわえて、snort再起動ではどうかな
35 :05/11/14 いかん、bleeding.rulesをくわえるとすぐにsnortのプロセスがなくなるねー
36 :05/11/14 それで 次のスクリプトはどうだろか 修正希望 down=`ps -ax | grep snort | grep ascii` if [ -z "$down" ]; then /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort fi
37 :05/11/16 Win版のAirSnort使ってる方おります? DWL-650使えと言うんだけど、互換チップで最近の 802.11a/b/g対応のPCカードってどんなのありますか? 家のはorinocoのドライバモードで一応動いてはいるんですけど 詳しい方おながいします
38 :05/11/18 まず、AirSnortとSnortは別物だと理解しているか?
39 :05/11/19 っていうか 12/31/04 - Cisco users on Windows should choose the DWL-650 card type という文面から >>87 と訳してるようじゃ、使いこなせっこない。
40 :05/11/20 OSにFedoraCore3を使用しているんですが、libpcapとpcreがデフォルトではいってるんだけどこのまま使っていいのかなぁ。 ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・ あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね? OSはインストールしたばかりの状態なんですが。 このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・ http://jem.serveftp.com/security/index.html このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。 情報がすくないですがどなたか助言いただけないでしょうか?
41 :05/11/20 エスパーさん出番です。
42 :05/11/26 TCP SYN flood攻撃のようなDoSの簡単な対処として同一の偽造IPから短期間に大量のパケットがきたら検知できるようにしたいんですけどどんなルールにすればいいでしょうか? それとログの出力をIPアドレスだけにってできないんですかね〜?現在調べながら設定中ですがなかなか難しいですね^^;
43 :06/01/05 保守
44 :06/01/13 Snort初心者なので教えてください。 PC版をインストールしてみたのだけど、ためしに起動するときに、-iの パラメータはどのように設定するのか教えていただけますか?。 UNIX版ではeth1とか指定してNICの指定を行うようなのですが?。
45 :06/01/13 snort -Wでインターフェイス番号と 実NICの対応がわかるんではないかな?
46 :06/01/14 正直マニュアルも読まないような奴がSnortを使いこなせるとは思えない。 あと、こんなのもあるな。 http://www.stillsecure.org/
47 :06/01/27 すみません、ちょっと教えていただきたく。 現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが snort.confにて output database: log, mysql, user=xx password=xx dbname=snort host=localhost と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている 状況です。 MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある んですが… 何か間違っているところや設定不足なところがあるようでしたらお願いします。 ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。
48 :06/01/28 >47 1.mysqlが実は動いていない 2.mysqlにテーブルつくってない 3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して select * from event; したら書かれてる mysql -u xx -p snortで show tables; でちゃんとテーブルつくられてんの? openaanvalがいつのまにか aanvalオンリーになっててちょっとショック
49 :06/01/29 >>48 レスありがとうございます。 1.ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは ちゃんとMySQLにアクセスできています。 2.dumpしましたがちゃんと作られていました。 3.コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。 show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。 ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに アクセスできることは確認しています。
50 :06/01/30 show tables;の結果は?
51 :06/01/30 ↑誤爆
52 :06/02/10 あれからsnortをコンパイルし直したり、コンフィグを1から書き直しして みたりしたけど、結局解決せず… 結局ログを自力で解析するスクリプト作って解決させますた…
53 :06/03/14 Snortから派生したのはかなり前だと記憶してるけど、一時期停滞してたHogwashが復活したようなので。 http://hlbr.sourceforge.net/index-jp.html In-lineで動かしたSnortとはまた別のことができるのね。
54 :06/03/21 日本Snortユーザ会、やる気ないならやめればいいのになぁ。 存在価値ないだろ。
55 :06/03/22 FreeBSDでとりあえずsnortをインストール、さらに適当にルールを拾ってきて動かしてみました。 分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、 いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、 これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。 modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、 このへんのことが解説されている情報が見つけられなくて困っています。 ご存知名方がいらっしゃったらご教示いただければ幸いです。 (的外れなことを書いているようでしたら容赦なくご指摘ください)
56 :06/03/23 >>55 シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない? で、やりたいことはmodifysidとか設定すればできるみたいだね。 oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。 何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。
57 :06/03/23 >>56 確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした) ありがとうございました。 modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。 アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。 最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。
58 :06/03/25 snortを久しぶりに使おうといじっているんですが、 以前はダンプされるファイル名が昔はIPアドレスごとだったのに、 すべてひとつのファイルに保存されてしまって少し不便に感じています。 設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?
59 :06/03/26 >>58 話題のない日本Snortユーザ会のMLに投げろ。
60 :06/03/29 FreeBSD6-STABLE+PFの環境で、ゲートウェイマシンにSnort入れて使ってます。 WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは あまりフィルタリングしていません。 先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、 WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。 (iplogは検知してます) これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか? もしそうならどうすればiplogのような挙動にできるでしょうか? よろしくお願いします。
61 :06/04/07 >>60 話題のない日本Snortユーザ会のMLに投げろ。
62 :06/04/07 >>60 以前、検証したら pf や ipfw などの処理をした後で libpcap が動いているみたいだから無理だと思います。 投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。
63 :06/06/02 ところでみんな、snortで狙っている不正アクセスがもし見つかった場合、 どうやって検知してる? たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を とるときはどうやっているか、という話。 夜中にLIMEWIRE使ったユーザが3時間も4時間も居た場合、その時間同じ報告メールが大量に来るわな。 それを避けたい場合どうするかなんだが。 syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって 「指定した文字列を受信したらこうする」という設定をしていた場合、 その通信が続く限り同じ処理を繰り返すでしょ?
64 :06/06/03 >>63 少しはマニュアル読め ヒントだけ書いておいてやる threshold
65 :06/06/04 >>64 snortのマニュアルってことかね?
66 :06/06/04 >>65 の投稿取り消し。 >>64 すまんかった。解決しそう。ありがとうございます。
67 :06/06/13 WANルータ | | +-----IDS(Snort) | | FW | | 内部 WAN側をIDSで監視していると、P2Pアラートが出た。 IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。 しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。 内部からの通信は例外なくFWを通過する。 二重化したFWログサーバ両方を調べたが、無かった。 こうしたことがちょくちょくある。 考えられる要因は何だろう。
68 :06/06/14 >>67 ありえんだろそれ
69 :06/06/21 sSnortを稼動させつつ、IPLOGを稼動させるっていうのはかなり無謀でしょうかね。 CPU処理的にはMAX70%ほどで、平均で40%ほど。
70 :06/07/11 あっー!!
71 :06/07/19 【これは除外してもよさそうだが、どうか?】 BLEEDING-EDGE WEB Google Desktop User-Agent Detected BLEEDING-EDGE POLICY ICQ Message BLEEDING-EDGE POLICY MSN status change BLEEDING-EDGE POLICY ICQ Status Change (1) BLEEDING-EDGE POLICY Gmail Message Send BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on BLEEDING-EDGE POLICY Skype User-Agent detected 【これは?】 spp_rpc_decode: Incomplete RPC segment BLEEDING-EDGE POLICY iTunes User Agent BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture BLEEDING-EDGE MALWARE DelFin Project User Agent BLEEDING-EDGE Potential MySQL bot scanning for SQL server BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host) BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent BLEEDING-EDGE MALWARE Target Saver Spyware User Agent M
72 :06/10/19 FC5にSnort入れたんだが、起動直後から260MBもメモリ食ってる・・・ 物理メモリは2GBでこれって普通?
73 :06/11/13 snort使ってる人は、ソースからインスコしてんのかな? パッケージからDLしてもいいけど、2.3系の所が多いし ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか エラー吐くし・・・。2.3系で使ってても問題ないのかな? ちなみに、鳥はdebian-sargeでつ。
74 :06/11/23 pspでsnortできる?wep解析したいから 教えて、すげー人
75 :06/11/23 >>74 どこからつっこんでほしい?
76 :06/11/23 別にいいから教えて
77 :06/11/23 \ U / \ U / / ̄ ̄ ヽ, / ', / _/\/\/\/|_ \ ノ//, {0} /¨`ヽ {0} ,ミヽ / \ / \ / く l ヽ._.ノ ', ゝ \ < バーーカ! > / /⌒ リ `ー'′ ' ⌒\ \ / \ (  ̄ ̄⌒ ⌒ ̄ _)  ̄|/\/\/\/ ̄ ` ̄ ̄`ヽ /´ ̄ | | −−− ‐ ノ | / ノ −−−− / ∠_ −− | f\ ノ  ̄`丶. | | ヽ__ノー─-- 、_ ) − _ . | | / / | | ,' / / / ノ | ,' \ / / | / \ /_ノ / ,ノ 〈 \ ( 〈 ヽ.__ \ \ ヽ._> \__)
78 :07/03/22 某所でsnort,mysql,barnyard,swatch,oinkmaster,Honeynet Security Console(HSC)で システムを構築した。 オープンシステムの時代だよ・・・なんていう客のニーズに応えたつもり。 priority1の警報は、管理者にメールするように設定した。 ところが保守運用のフェーズになった今、ルールファイルの更新をどうするやら、 アラート発生時の対処法をマニュアル化しろとか・・・もう参りました。 オープンシステムを選択したのはユーザの責任、システムを構築した俺たちがそこまで 面倒を見る必要があるのか? HSCなんてバグだらけの糞だよ! 俺たちには責任はない。でも俺たちに明日はない。
79 :07/03/24 >>78 >もう参りました。 契約範囲を明確にしてないお前が悪い。 >俺たちには責任はない。 自分のスキルの低さを棚に上げて、オープンソースの製品を使うお前が悪い。
80 :07/03/31 Snort-users-jp の終えん。 本家のMLは活発なのになぁ。どうでもいい内容も多いけど。
81 :07/04/09 レベル高けーな。>74-77
82 :07/04/09 体験版収集家よりマシだろ
83 :07/04/29 age
84 :07/04/29 >>7 罵倒は簡単にできるけど的確なアドヴァイスは難しいですね
85 :07/08/03 >>80 やっぱSnortの最新の情報とかを知るには 本家のML等を利用するしかないのですね。 英語読むの頑張ってみます。。。
86 :07/08/15 Snortって定義ファイルの更新有料化したの? なんか、ルールダウンロードしようとしたら料金表が出てきたんだが。。。
87 :07/08/15 >>86 英語読めない奴は使わなくていいってことだよ。
88 :07/08/15 たかが監視だけのソフトに必死になる必要がないことに気づいた。
89 :07/12/17 ルータに位置するPCでhttpのPOST内容の記録と出来ればフィルタを行いたいんだが、 snort使うべきでしょか
90 :07/12/29 >89 検知はともかくフィルタするのは面倒くさいとおもう。 あとHTTPの通信に限るのであれば、IDS使うよりも、 WAFを使ったほうが細かい事ができる。 フィルタするなら、サーバ側にインストールする必要があるけど Apacheのmod_securityとか。
91 :08/10/05 保守
92 :09/02/23 snortrules-snapshot-CURRENT.tar.gzをダウンロードしたが、 展開しようとするとエラーになる。 ... so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/smtp.so so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/netbios.so gzip: stdin: unexpected end of file tar: アーカイブ中に予期せぬ EOF があります tar: アーカイブ中に予期せぬ EOF があります tar: エラーを回復できません: 直ちに終了します 家のPCから借りてるCentOSサーバにアップロードしたんだが、 これで終了してしまう。何がいけないんだろ。
93 :09/03/18 snortで検知してkerioでフィルタする。
94 :09/07/04 保守的
95 :09/08/12 hoshu
96 :09/08/29 Unknown keyword ' dce_iface' in rule!
97 :09/10/23 This is all a bunch of very noisy people projecting their own issues concerning race onto two wannabe-gangsta robots. ,
98 :10/04/27 Snort 2.8.6 リリース
99 :10/04/28 誰かSuricata使ってる人いないの? https://redmine.openinfosecfoundation.org/
100read 1read 1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
踏み台にできるSMTPサーバ (151)
異世界からの訪問者『 127.0.0.1 』 (195)
Sunbelt Personal Firewall - Part 31 (371)
ZoneAlarm Part57 (914)
ESET Smart Security その23 (557)
キーロガの話 (101)
--log9.info------------------
新潟のバス・ギル16 (138)
多摩川情報15匹目 (114)
【ロクマル】亀山湖【また出た】 (420)
【岐阜県海津市】大江川とその周辺 19投目 (392)
やっぱりfenwickが好き(・∀・) 17本目 (118)
【釣ったら】バス釣りを撮影して晒せ!32【うp】 (809)
軽自動車でバス釣り (916)
釣りビジョン実況スレ14匹目 (857)
【茨城】茨城県バス釣り2【総合】 (488)
【KEN】水は地球の命です!上州屋総合7【JBCC】 (655)
【2010冬】彦根・長浜を語れ! (342)
(´・ω・`)知らんがな Part4やがな (159)
福島バス釣り情報 Part13 (512)
未開の地グンマー★2 (414)
【K.T.F】沢村幸弘総合スレッド3【キャリル】 (1001)
【宇治】京都総合【桂】part2 (611)
--log55.com------------------
虚無 part.3576
【便所SEX覚醒剤乱用☆祝有罪】元東方神起詐欺師前科一犯ユチョン690発目【債務50億ウォン 破産秒読み】
【便所SEX覚醒剤乱用☆祝有罪】元東方神起詐欺師前科一犯ユチョン690発目【債務50億ウォン 破産秒読み】
木直田90
実質13683
きっずの噂1562
五千七百七
別館★羽生結弦&オタオチスレ12548