https://www.opennet.me/openforum/vsluhforumID3/11837.html В статье "Introduction to IPAudit (http://www.securityfocus.com/infocus/1842)" рассказано как установить и настроить пакет IPAudit (http://ipaudit.sourceforge.net/) , использующий libpcap для прослушивания трафика, в целях выявления аномалий, например, DoS/DDoS атак, эпидемий сетевых червей, возникновения нетипичного увеличения трафика и т.д..<br><br>URL: http://www.securityfocus.com/infocus/1842<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=5776<br> https://www.opennet.me/openforum/vsluhforumID3/11837.html#11 Wed, 20 Jul 2005 20:06:57 GMT Спасибо. https://www.opennet.me/openforum/vsluhforumID3/11837.html#10 Wed, 20 Jul 2005 11:57:10 GMT Кстати, можно сделать так, что 1 снорт и логи пишет, и в базу кладет и т.д.<br>Для этого нужно создать свое "композитное" правило с помощью директивы ruletype. Вот выдержка из мануала:<br><br>This example will create a rule type that will log to syslog and a MySQL database:<br><br>ruletype redalert<br>{<br>type alert<br>output alert_syslog: LOG_AUTH LOG_ALERT<br>output database: log, mysql, user=snort dbname=snort host=localhost<br>}<br><br>Теперь останется с помощью какого нибудь sed заменить все директивы log и/или alert в правилах на новую (redalert в вышеуказанном примере).<br> https://www.opennet.me/openforum/vsluhforumID3/11837.html#9 Tue, 19 Jul 2005 21:04:19 GMT &gt;Ух-ты! Развеееернуто :) Спасибо большое :)! <br><br>за плохими ребятами. Неочевидных, но полезных приколов в связке snort-acid-ipfw еще очень много. И в исходниках много чего надо подровнять. На статью нет времени. Так что давай ты. Изучай предмет и пиши хороший ФАК. https://www.opennet.me/openforum/vsluhforumID3/11837.html#8 Tue, 19 Jul 2005 11:32:10 GMT Ух-ты! Развеееернуто :) Спасибо большое :)! https://www.opennet.me/openforum/vsluhforumID3/11837.html#7 Mon, 18 Jul 2005 22:03:28 GMT Для Фри.<br>Скрипт, который "guardian_block.sh" запускай из bash, ибо там есть RANDOM, а номер вот этого срульза из rc.firewall:<br><br># Prototype setups.<br>#<br>case ${firewall_type} in<br>[Oo][Pp][Ee][Nn])<br> setup_loopback<br> ${fwcmd} add 35000 pass all from any to any<br> ;;<br><br>сделай равным 35000.<br><br>Иначе все срульзы, заведенные Guardian'ом будут иметь черт какие номера. Одинаковые - некорректное удаление нарушителя по истечении времени из листа, или сядут ниже "всем всё" и не будут работать. А так будет то, что надо: срульзы нарушителей в диапазоне 1000-33000, "всем всё" - 35000.<br><br>"guardian_block.sh"<br><br>#!/usr/local/bin/bash<br>toguess="$(expr 1000 + $RANDOM)"<br>source=$1<br>interface=$2<br>/sbin/ipfw -q add $toguess deny ip from $source to any<br><br> https://www.opennet.me/openforum/vsluhforumID3/11837.html#6 Mon, 18 Jul 2005 21:51:17 GMT Ставишь Snort "./configure --with-mysql" и Oinkmaster для наката обновлений в правилах.<br><br>Регистрируешься на Snort.Org для получения секретного URLа, вставляешь его в oinkmaster.conf<br><br>Ставишь ACID, http://acidlab.sourceforge.net/<br><br>Запускаешь ДВА (2 копии, 2 штуки, дважды) Snorta<br><br>Один для сбора логов в SQL для причесывания их ACIDом:<br>"/usr/local/bin/snort -D -c /etc/rules/snort.conf"<br><br>Другой для ведения текстовых логов /var/log/snort/alert и /var/log/snort/portscan.log:<br>"/usr/local/bin/snort -D -c /etc/rules/snort.conf -A full"<br><br>Другим способом заставить Snort вести и SQL лог и текстовый лог я не смог.<br><br>Обе копии Snorta используют один и тот же snort.conf<br><br>в snort.conf в соответствующих местах:<br># это в SQL<br>output database: alert, mysql, user=blabla password=blabla dbname=blabla host=blabla<br># в файло, ACID его тоже парсит, вместе с SQL базой<br>preprocessor sfportscan: proto { all } \<br> memcap { 10000000 } \<br> sense_level { medium } \<br> https://www.opennet.me/openforum/vsluhforumID3/11837.html#4 Mon, 18 Jul 2005 07:51:06 GMT Snort FAQ! https://www.opennet.me/openforum/vsluhforumID3/11837.html#3 Mon, 18 Jul 2005 07:40:30 GMT Может подскажете ссылочку с чего начать со Snort'ом? https://www.opennet.me/openforum/vsluhforumID3/11837.html#1 Sun, 17 Jul 2005 19:40:01 GMT Ипудит - чушь.