Подключаем обработку ICMP к snort ( stream5 )

Posted in Новости on 16 декабря, 2011 by admin

Стандартно в stream5_global стоит «track_icmp no» . Чтобы подключить обработку ICMP пакетов меняем флаг на «on», в раздел preprocessor stream5_global добавляем — «max_icmp 64000». Также нужно добавить обработку препроцессором :

preprocessor stream5_icmp: timeout 180

Tags: , ,

IDS snort.

Posted in Новости on 15 декабря, 2011 by admin

Вышеперечисленные действия производились на Windows7 ( 32 ).

Ставим snort :

  • Качаем сам дистр и правила для детекта http://www.snort.org/ ( прежде советую зарегистрироваться, так как после регистрации более новые правила открываются )
  • Качаем и ставим WinPCAP http://www.winpcap.org/
  • Распаковываем правила и копируем абсолютно все в корень snort
  • Качаем конфиг http://tresnet.ru/sw/snort1.conf ( естественно часть его изменяя под себя , конфиг интуитивно понятный )
  • Запускаем snort через консоль подобным образом :

    cd c:\snort\etc
    snort -c c:\snort\etc\snort.conf -l C: -i 2 ( опять же все интуитивно понятно , с - конфиг , l - каталог логов , i - сетевой интерфейс машины )
  • PS Чуть позже расскажу про вкусный анализатор логов snortsmarf

    Tags: , , ,