URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39298
[ Назад ]

Исходное сообщение
"сканирование портов и снорт"
Отправлено kazak , 13-Янв-04 16:49

На серваке mandrake 9.0 поставил снорт. В snort.conf указал home_net any,external_net any. Из локалки запустил прогу Port scanner, порты открыте нашел, только снорт ничего не зафиксировал. Вообще он работает - мое правило (на пинг) - обнаружил. Правила только сегодня обновил. Никто не знает почему снорт ни как не отреагировал на атаку?

Содержание

сканирование портов и снорт,HFSC, 17:03 , 13-Янв-04
- сканирование портов и снорт,kazak, 17:24 , 13-Янв-04
  - сканирование портов и снорт,Gennadi, 01:13 , 14-Янв-04
    - сканирование портов и снорт,kazak, 10:08 , 14-Янв-04

Сообщения в этом обсуждении

"сканирование портов и снорт"
Отправлено HFSC , 13-Янв-04 17:03

>На серваке mandrake 9.0 поставил снорт. В snort.conf указал home_net any,external_net any.
>Из локалки запустил прогу Port scanner, порты открыте нашел, только снорт
>ничего не зафиксировал. Вообще он работает - мое правило (на пинг)
>- обнаружил. Правила только сегодня обновил. Никто не знает почему снорт
>ни как не отреагировал на атаку?
Snort какой версии? какой препроцессор используется: portscan,portscan2
или flow-portscan? какие опции для препроцессора? с какими параметрами запускаешь снорт?

"сканирование портов и снорт"
Отправлено kazak , 13-Янв-04 17:24

>>На серваке mandrake 9.0 поставил снорт. В snort.conf указал home_net any,external_net any.
>>Из локалки запустил прогу Port scanner, порты открыте нашел, только снорт
>>ничего не зафиксировал. Вообще он работает - мое правило (на пинг)
>>- обнаружил. Правила только сегодня обновил. Никто не знает почему снорт
>>ни как не отреагировал на атаку?
>
>Snort какой версии? какой препроцессор используется: portscan,portscan2
> или flow-portscan? какие опции для препроцессора? с какими параметрами запускаешь снорт?
>
Snort 2.0.6
preprocessor perfmonitor: console flow events time 10
snort -de -i eth0 -A full -c /etc/snort/snort.conf -h 192.168.55.0/24

"сканирование портов и снорт"
Отправлено Gennadi , 14-Янв-04 01:13

>>>На серваке mandrake 9.0 поставил снорт. В snort.conf указал home_net any,external_net any.
>>>Из локалки запустил прогу Port scanner, порты открыте нашел, только снорт
>>>ничего не зафиксировал. Вообще он работает - мое правило (на пинг)
>>>- обнаружил. Правила только сегодня обновил. Никто не знает почему снорт
>>>ни как не отреагировал на атаку?

preprocessor portscan2: scanners_max 3200, targets_max 5000, target_limit 5, port_limit 20, timeout 60 log /var/log/snort/

"сканирование портов и снорт"
Отправлено kazak , 14-Янв-04 10:08

>>>>На серваке mandrake 9.0 поставил снорт. В snort.conf указал home_net any,external_net any.
>>>>Из локалки запустил прогу Port scanner, порты открыте нашел, только снорт
>>>>ничего не зафиксировал. Вообще он работает - мое правило (на пинг)
>>>>- обнаружил. Правила только сегодня обновил. Никто не знает почему снорт
>>>>ни как не отреагировал на атаку?
>
>
>preprocessor portscan2: scanners_max 3200, targets_max 5000, target_limit 5, port_limit 20, timeout 60
>log /var/log/snort/
Спасибо помогло!
А не подскажешь, чтобы повесить снорт на 2 - внтренний и внешний интерфейс нужно 2 процесса запускать с разными snort.conf и разными правилами?