The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявление аномальной сетевой активности при помощи IPAudit

17.07.2005 23:22

В статье "Introduction to IPAudit" рассказано как установить и настроить пакет IPAudit , использующий libpcap для прослушивания трафика, в целях выявления аномалий, например, DoS/DDoS атак, эпидемий сетевых червей, возникновения нетипичного увеличения трафика и т.д..

Вышел перевод статьи на русский язык.

  1. Главная ссылка к новости (http://www.securityfocus.com/i...)
  2. Detecting Worms and Abnormal Activities with NetFlow, Part 1
  3. Detecting Worms and Abnormal Activities with NetFlow, Part 2
Лицензия: CC-BY
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/5776-traffic
Ключевые слова: traffic, analyze, statistic, dos, flood, pcap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Бхагавата (?), 23:40, 17/07/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ипудит - чушь.
     
     
  • 2.3, spb_nick (?), 11:40, 18/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Может подскажете ссылочку с чего начать со Snort'ом?
     
     
  • 3.6, Бхагавата (?), 01:51, 19/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ставишь Snort configure --with-mysql и Oinkmaster для наката обновлений в пр... большой текст свёрнут, показать
     
     
  • 4.7, Бхагавата (?), 02:03, 19/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Для Фри.
    Скрипт, который "guardian_block.sh" запускай из bash, ибо там есть RANDOM, а номер вот этого срульза из rc.firewall:

    # Prototype setups.
    #
    case ${firewall_type} in
    [Oo][Pp][Ee][Nn])
            setup_loopback
            ${fwcmd} add 35000 pass all from any to any
            ;;

    сделай равным 35000.

    Иначе все срульзы, заведенные Guardian'ом будут иметь черт какие номера. Одинаковые - некорректное удаление нарушителя по истечении времени из листа, или сядут ниже "всем всё" и не будут работать. А так будет то, что надо: срульзы нарушителей в диапазоне 1000-33000, "всем всё" - 35000.

    "guardian_block.sh"

    #!/usr/local/bin/bash
    toguess="$(expr 1000 + $RANDOM)"
    source=$1
    interface=$2
    /sbin/ipfw -q add $toguess deny ip from $source to any

     
     
  • 5.8, spb_nick (?), 15:32, 19/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ух-ты! Развеееернуто :) Спасибо большое :)!
     
     
  • 6.9, Бхагавата (?), 01:04, 20/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Ух-ты! Развеееернуто :) Спасибо большое :)!

    за плохими ребятами. Неочевидных, но полезных приколов в связке snort-acid-ipfw еще очень много. И в исходниках много чего надо подровнять. На статью нет времени. Так что давай ты. Изучай предмет и пиши хороший ФАК.

     

  • 1.4, Admin (??), 11:51, 18/07/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Snort FAQ!
     
     
  • 2.10, scum (??), 15:57, 20/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, можно сделать так, что 1 снорт и логи пишет, и в базу кладет и т.д.
    Для этого нужно создать свое "композитное" правило с помощью директивы ruletype. Вот выдержка из мануала:

    This example will create a rule type that will log to syslog and a MySQL database:

    ruletype redalert
    {
    type alert
    output alert_syslog: LOG_AUTH LOG_ALERT
    output database: log, mysql, user=snort dbname=snort host=localhost
    }

    Теперь останется с помощью какого нибудь sed заменить все директивы log и/или alert в правилах на новую (redalert в вышеуказанном примере).

     
     
  • 3.11, Бхагавата (?), 00:06, 21/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру