Главная

Сканирования

Как создавать правила для Snort и тестировать их?

Сб, 28/02/2009 - 00:50 — admin

В этом ролике Бакич Абдельхаким (Bakkich Abdelhakim), программист и системный администратор из Марокко, рассказывает о правилах Snort. В первой части ролика Хаким тестирует правила, отслеживающие сканирования портов (scan.rules). Для проверки функциональности используется сканер nmap. Сканер запускается на другом компьютере. Режимы сканирования — Fin и Xmas (рождественская елка). IDS Snort успешно определяет атаки и выводит алерты на экран и в лог-файл.

Во второй части ролика Хаким показывает как создавать свои правила для Snort. Правило примитивное, только что бы понять принцип. Каждый раз, когда пользователь заходит на сайт youtube, в лог должно выводиться соответствующее сообщение. Новое правило добавляется в папку к остальным правилам Snort. Путь к правилу прописывается в snort.conf.

Язык: английский

Обнаружение телекоммуникационных атак: теория и практика, Snort

Ср, 07/01/2009 - 00:33 — admin

Павел Закляков

"Системный администратор" №10(11), октябрь 2003
По данным CERT[1], число инцидентов в сети растёт не по дням, а по часам - если грубо поделить 100 тысяч на 365 дней и на 24 часа, то получится примерно около 11 регистрируемых инцидентов в час. Ситуацию, сложившуюся в последнее время с червём Blaster, следует убрать из рассмотрения как исключение.

Мы видим, что число инцидентов растёт, а в то же время последние номера журнала не изобилуют статьями по вопросам сетевой безопасности, а тем более обнаружению телекоммуникационных атак. На мой взгляд, есть ряд удачных публикаций [2-4]; менее удачных в силу сложности непосредственной применимости [5-8] и неудачных, но все они далеки от обнаружения атак. Даже широко продаваемая литература [9-14] далека от жизни, и за красивыми названиями порой ничего не стоит, кроме полного отставания в вопросах практической реализации. Хотелось бы несколько заполнить этот вакуум полезной информацией, в частности информацией про систему обнаружения атак IDS Snort [15].

Так как теория не стоит на месте и все появляющиеся упоминания скорее неполные, чем неправильные, то хотелось бы закрыть этот вакуум, подведя читателя непосредственно подкованным к вопросу использования IDS Snort.

Замечания, обсуждение и критика вопросов обнаружения телекоммуникационных атак приветствуются.

RSS-материал