Русская группа пользователей Snort

В этом ролике Бакич Абдельхаким (Bakkich Abdelhakim), программист и системный администратор из Марокко, рассказывает о правилах Snort. В первой части ролика Хаким тестирует правила, отслеживающие сканирования портов (scan.rules). Для проверки функциональности используется сканер nmap. Сканер запускается на другом компьютере. Режимы сканирования — Fin и Xmas (рождественская елка). IDS Snort успешно определяет атаки и выводит алерты на экран и в лог-файл.

Во второй части ролика Хаким показывает как создавать свои правила для Snort. Правило примитивное, только что бы понять принцип. Каждый раз, когда пользователь заходит на сайт youtube, в лог должно выводиться соответствующее сообщение. Новое правило добавляется в папку к остальным правилам Snort. Путь к правилу прописывается в snort.conf.

Язык: английский

The Screen Savers — американское тв-шоу на канале TechTV. Шоу было запущено 11 Мая 1998 года. Первоначально, шоу было посвящено околокомпьютерным темам, новым технологиям и их применению по всему миру. Однако после того, как шоу попало под контроль американского канала G4, направленность сменилась на более общую. Последний эпизод вышел в эфир 18 марта 2005 года.

В этом выпуске, соведущий шоу Роберт Кевин Роуз (Robert Kevin Rose) рассказывает об IDS Snort, демонстрирует работу AirSnort — сборки снорта, предназначенную для обнаружения атак в беспроводных Wi-fi сетях.

Кевин Роуз так же известен как один из основателей сервиса социальных закладок Digg и как соведущий еженедельного видео-подкаста Diggnation, в котором обсуждается наиболее популярный контент, добавленный на Digg.

Язык: английский

Рассматривается процесс скачивания, установки и настройки Snort для работы в режиме снифера и системы обнаружения вторжения на компьютере под управлением Windows XP. Все описывается очень доступно. Рекомендуется к просмотру всем, кто начинает свое знакомство с IDS Snort.

Язык: английский

Павел Закляков

"Системный администратор" №10(11), октябрь 2003
По данным CERT[1], число инцидентов в сети растёт не по дням, а по часам - если грубо поделить 100 тысяч на 365 дней и на 24 часа, то получится примерно около 11 регистрируемых инцидентов в час. Ситуацию, сложившуюся в последнее время с червём Blaster, следует убрать из рассмотрения как исключение.

Мы видим, что число инцидентов растёт, а в то же время последние номера журнала не изобилуют статьями по вопросам сетевой безопасности, а тем более обнаружению телекоммуникационных атак. На мой взгляд, есть ряд удачных публикаций [2-4]; менее удачных в силу сложности непосредственной применимости [5-8] и неудачных, но все они далеки от обнаружения атак. Даже широко продаваемая литература [9-14] далека от жизни, и за красивыми названиями порой ничего не стоит, кроме полного отставания в вопросах практической реализации. Хотелось бы несколько заполнить этот вакуум полезной информацией, в частности информацией про систему обнаружения атак IDS Snort [15].

Так как теория не стоит на месте и все появляющиеся упоминания скорее неполные, чем неправильные, то хотелось бы закрыть этот вакуум, подведя читателя непосредственно подкованным к вопросу использования IDS Snort.

Замечания, обсуждение и критика вопросов обнаружения телекоммуникационных атак приветствуются.

Павел Закляков

"Системный администратор" №5(18), май 2004

«Лучше один раз увидеть, чем сто раз услышать» гласит пословица. Многие вещи мы лучше понимаем, представляем и запоминаем, если видели их собственными глазами. При этом не всякое нами увиденное воспринимается одинаково хорошо. Очень сильно на процесс восприятия влияет наглядность. В этой статье будет рассмотрен именно такой вариант отображения данных об интенсивности атак, регистрируемых с помощью Snort. В качестве средства отображения используется MRTG.

Предполагается, что имеется СОА Snort, данные с одного или нескольких сенсоров которой заносятся в БД инцидентов. Необходимо организовать визуальное отображение среднего уровня атак в зависимости от времени. Для отображения удобнее всего использовать штатное средство большинства Linux-систем - MRTG (The Multi Router Traffic Grapher) [1,2 стр. 52-53, 3 стр. 316, 4 стр. 208-216]. Предполагается, что MRTG у вас уже установлен. Рассмотрим его настройку. Конфигурационный файл MRTG обычно называется mrtg.cfg и находится в директории /etc/mrtg.