forum.opennet.ru - "Доступны анализатор трафика Zeek 8.0 и сетевой сканер Nmap 7.98" (30)

"Доступны анализатор трафика Zeek 8.0 и сетевой сканер Nmap 7.98"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступны анализатор трафика Zeek 8.0 и сетевой сканер Nmap 7.98"	+/–
Сообщение от opennews (??), 25-Авг-25, 09:33
Опубликован релиз системы анализа трафика и выявления сетевых вторжений Zeek 8.0.0, ранее распространявшейся под именем Bro. Zeek представляет собой платформу для анализа трафика, ориентированную в первую очередь на отслеживание событий, связанных с безопасностью, но не ограничивающуюся этим применением. Код системы написан на языке С++ и распространяется под лицензией BSD... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63772
Ответить \| Правка \| Cообщить модератору

Оглавление

А зачем смешивать два разных продукта в одной новости Они как-то связаны , Аноним (1), 09:33 , 25-Авг-25, (1) +15

Админ просто ленится Год назад было так https www opennet ru opennews art sht, Тот_Самый_Анонимус_ (?), 07:21 , 27-Авг-25, (39)

Спасибо, скачал , Аноним (2), 09:33 , 25-Авг-25, (2) –1
nmap ещё Нео из первой Матрицы юзал, хакер , Аноним (4), 09:40 , 25-Авг-25, (4) +3

Мистер Робот все еще самая достоверная картина про хакеров из всех А еще она по, Аноним (33), 01:53 , 26-Авг-25, (33) +1

Когда уже РКН свои либы DPI в опенсорс выложит , rshadow (ok), 10:47 , 25-Авг-25, (6) +2

Не могут, у них нет своих, у них то что наклянчили у Китая и Ирана, Эксконтрибутор FreeBSD (?), 12:02 , 25-Авг-25, (8) +4

Там уже тестируют полную изоляцию https habr com ru news 939266 , Аноним (10), 12:10 , 25-Авг-25, (10) +2
ага, под названием сендвайн , Аноним (11), 12:42 , 25-Авг-25, (11)
С помощью оборудования китайской ZTE людям в России гадости делают , Ценитель GPL рогаликов (?), 14:21 , 25-Авг-25, (15)

При помощи китайского и иранского софта DPI работают железки ТСПУ стоящие в разр, Эксконтрибутор FreeBSD (?), 14:37 , 25-Авг-25, (16)

Оборудование там ZTE или уже засекретили , Ценитель GPL рогаликов (?), 14:42 , 25-Авг-25, (17)

Скрыто модератором, Аноним (40), 12:01 , 27-Авг-25, (40)

а он ещё не выложил он ведь на ваши налоги работает, 12yoexpert (ok), 23:38 , 25-Авг-25, (29)

хотелось бы сравнение кратко, основное отличий со Snort лучше всего - перече, крокодил мимо.. (-), 11:58 , 25-Авг-25, (7) +1

Отличия сетевого сканера от IDS А отличия IDS от тарелки с кашей тебе надо в таб, Эксконтрибутор FreeBSD (?), 12:03 , 25-Авг-25, (9) –4

вот про это и речь и то и то - позционируется как ids, но есть нюансы, о котор, крокодил мимо.. (-), 12:48 , 25-Авг-25, (12) +2

Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять , Аноним (13), 12:55 , 25-Авг-25, (13) +1

есть иное мнение например https tolumichael com snort-vs-suricata-vs-zeek и , крокодил мимо.. (-), 14:03 , 25-Авг-25, (14) +1

Водянка от иишечки по ссылке Вот настроил ты IDS, где-то получаешь алерты, по ни, Аноним (13), 16:46 , 25-Авг-25, (22) –1

вы, наверное, с zeek дел вообще не имели, т к правила теже и Zeek умеет в пр, крокодил мимо.. (-), 20:02 , 25-Авг-25, (24)

404 Not Found, Аноним (25), 20:05 , 25-Авг-25, (25) +1

автоформатирование сбило ссылку а вы, как вижу, и не сообразили https old z, крокодил мимо.. (-), 20:16 , 25-Авг-25, (26)

ии от гугла так не считаетhttps www google com search q zeek snort rulesСвой z, Аноним (13), 23:31 , 25-Авг-25, (28)

как вы там про ии выше рассуждали зачем тут ии, если есть офсайт https docs z, крокодил мимо.. (-), 00:59 , 26-Авг-25, (32) +1

Не не, благодарю Осознал что это удобный DSL если захочу что-токонкретное в сет, Аноним (13), 09:35 , 26-Авг-25, (37) +1

snort нуждается в pcre а zeek нет pcre автор без фин помощи быстро фиксить не х, кешка (?), 23:47 , 25-Авг-25, (30) –2

Нужно будет попробовать, хочу дома поставить, фильтровать трафик Не всегда fire, Аноним (23), 19:20 , 25-Авг-25, (23) –1
Скачал пакет zeek_8 0 0-0_amd64 debА зависимости zeek-core 8 0 0-0 , zeekctl , Аноним (31), 00:04 , 26-Авг-25, (31)

Из AUR, конечно А ну да , Аноним (36), 09:35 , 26-Авг-25, (36) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 25-Авг-25, 09:33 +15 +/–

А зачем смешивать два разных продукта в одной новости? Они как-то связаны?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

2. Сообщение от Аноним (2), 25-Авг-25, 09:33 –1 +/–

Спасибо, скачал)

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 25-Авг-25, 09:40 +3 +/–

nmap ещё Нео из первой Матрицы юзал, хакер.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

6. Сообщение от rshadow (ok), 25-Авг-25, 10:47 +2 +/–

Когда уже РКН свои либы DPI в опенсорс выложит? (

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #29

7. Сообщение от крокодил мимо.. (-), 25-Авг-25, 11:58 +1 +/–

хотелось бы сравнение (кратко, основное) отличий со Snort.. лучше всего - перечень того, где оно лучше снорта и почему..

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #13

8. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 12:02 +4 +/–

Не могут, у них нет своих, у них то что наклянчили у Китая и Ирана

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #10, #11, #15, #40

9. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 12:03 –4 +/–

Отличия сетевого сканера от IDS?
А отличия IDS от тарелки с кашей тебе надо в табличку свести?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12

10. Сообщение от Аноним (10), 25-Авг-25, 12:10 +2 +/–

Там уже тестируют полную изоляцию:
https://habr.com/ru/news/939266/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 25-Авг-25, 12:42 +/–

ага, под названием сендвайн :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от крокодил мимо.. (-), 25-Авг-25, 12:48 +2 +/–

> Отличия сетевого сканера от IDS?
> А отличия IDS от тарелки с кашей тебе надо в табличку свести?
вот про это и речь.. и то и то - позционируется как ids, но есть нюансы, о которых ни слова..
и да, сетевой сканер - это nmap, а zeek всё же немного другое..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (13), 25-Авг-25, 12:55 +1 +/–

Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять.
Zeek умеет в правила от Snort, так что разницы кроме настроек особо никакой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #14, #30

14. Сообщение от крокодил мимо.. (-), 25-Авг-25, 14:03 +1 +/–

> Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять.
> Zeek умеет в правила от Snort, так что разницы кроме настроек особо
> никакой.
есть иное мнение.. например:
https://tolumichael.com/snort-vs-suricata-vs-zeek/
и разница таки есть..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Ценитель GPL рогаликов (?), 25-Авг-25, 14:21 +/–

С помощью оборудования китайской ZTE людям в России гадости делают?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #16

16. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 14:37 +/–

При помощи китайского и иранского софта DPI работают железки ТСПУ стоящие в разрыв каналов у провайдеров, нет тут никакого секрета

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #17

17. Сообщение от Ценитель GPL рогаликов (?), 25-Авг-25, 14:42 +/–

Оборудование там ZTE или уже засекретили?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

22. Сообщение от Аноним (13), 25-Авг-25, 16:46 –1 +/–

Водянка от иишечки по ссылке.
Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут менять настройки сети.
Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже.
>и разница таки есть..
Настройки и потребление ресурсов. В остальном лучше опиши ее на своем
опыте чем давать такие ссылки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #24

23. Сообщение от Аноним (23), 25-Авг-25, 19:20 –1 +/–

Нужно будет попробовать, хочу дома поставить, фильтровать трафик. Не всегда firewall подходит, когда нужно блокировать не сетевой протокол а например а уровне протокола приложения.

Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от крокодил мимо.. (-), 25-Авг-25, 20:02 +/–

> Водянка от иишечки по ссылке.
> Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут
> менять настройки сети.
> Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже.
вы, наверное, с zeek дел вообще не имели, т.к. "правила теже" и "Zeek умеет в правила от Snort" - не соответствует действительности от слова "совсем"©.. не хотите читать ссылку выше - есть офсайт, где разжёвано про "pattern matching":
https://old.zeek.org/manual/2.5.5/frameworks/signatures.html... тут ещё упомянут snort2bro как пример фейла автотрансфера правил снорт в бро/зик
грубо говоря, zeek - не для ширнармасс.. субъективно..
p.s.:
а то тут уже некоторые/многие "качать" собрались.. удачи.. мдэ..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #25, #28

25. Сообщение от Аноним (25), 25-Авг-25, 20:05 +1 +/–

404 Not Found

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #26

26. Сообщение от крокодил мимо.. (-), 25-Авг-25, 20:16 +/–

> 404 Not Found
автоформатирование сбило ссылку.. а вы, как вижу, и не сообразили..
https://old.zeek.org/manual/2.5.5/frameworks/signatures.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (13), 25-Авг-25, 23:31 +/–

>не соответствует действительности
ии от гугла так не считает
https://www.google.com/search?q=zeek+snort+rules
>You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive)
>грубо говоря, zeek - не для ширнармасс.. субъективно..
Свой zeek DSL придумали, ок
https://docs.zeek.org/en/master/scripting/basics.html
Есть где-то база этих скриптов, которую коммунити или еще кто обновляет ?!
Я не нашел ничего интересного кроме
https://github.com/michalpurzynski/zeek-scripts

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #32

29. Сообщение от 12yoexpert (ok), 25-Авг-25, 23:38 +/–

а он ещё не выложил? он ведь на ваши налоги работает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

30. Сообщение от кешка (?), 25-Авг-25, 23:47 –2 +/–

snort нуждается в pcre а zeek нет.
pcre автор без фин. помощи быстро фиксить не хочет (был ньюс тут).
так что снорт потенциально дырявее.
так то, дядя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

31. Сообщение от Аноним (31), 26-Авг-25, 00:04 +/–

Скачал пакет zeek_8.0.0-0_amd64.deb
А зависимости zeek-core (= 8.0.0-0), zeekctl (= 8.0.0-0), zeek-core-dev (= 8.0.0-0), zeek-spicy-dev (= 8.0.0-0), zeek-zkg (= 8.0.0-0), zeek-client (= 8.0.0-0) где взять? А то пустышка получается, а не пакет.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

32. Сообщение от крокодил мимо.. (-), 26-Авг-25, 00:59 +1 +/–

> ии от гугла так не считает
> https://www.google.com/search?q=zeek+snort+rules
>>You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive)
как вы там про ии выше рассуждали? зачем тут ии, если есть офсайт:
https://docs.zeek.org/en/master/frameworks/signatures.html
выше приводил ссылку на примерную версию зика, где таки бросили поддержку snort2bro из-за остсутствия смысла в ней.. системы (снорт и зик) разные, с разными целями..
https://github.com/zeek/zeek/blob/master/man/zeek.8
-s
read rules from given file
и файл $INSTALLPATH/share/zeek/base/frameworks/signatures/main.zeek к снорту не имеет ни малейшего отношения, кроме того, что это "сигнатуры".. вернее их представления для зик-а..

>>грубо говоря, zeek - не для ширнармасс.. субъективно..
> https://docs.zeek.org/en/master/scripting/basics.html
да, или учишь скрипты зика (и всю его кухню) или пользуешь snort (или suricata, если снорт-а не хватает и ресурсы позволяют)

> Есть где-то база этих скриптов, которую коммунити или еще кто обновляет ?!
если правильно понимаю, то:
https://docs.zeek.org/en/master/script-reference/scripts.html
референс, что обновляется/изменяется каждый релиз, на основе которого делаешь именно то, что тебе надо..
"коллекции" Purzynski уже 7 лет как (и она для "старого" bro, если по-хорошему).. без понимания скрипта, грузить что-то - идея так себе (это не однострочник на перле, но близко)..
можно посмотреть:
https://github.com/mvlnetdev/zeek_detection_script_collection
и пинать поисковик(и) на тему:
?q=zeek+scripts+collection
может где-то и ведётся какой-то "централизованный" хаб/котёл для скриптов зика от сообщества - не встречал.. обычно каждый пилит что ему надо..
извините за много букв..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37

33. Сообщение от Аноним (33), 26-Авг-25, 01:53 +1 +/–

Мистер Робот все еще самая достоверная картина про хакеров из всех. А еще она познавательная: из нее я узнал про команду shred например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (36), 26-Авг-25, 09:35 +1 +/–

Из AUR, конечно. А... ну да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (13), 26-Авг-25, 09:35 +1 +/–

>извините за много букв..
Не не, благодарю. Осознал что это удобный DSL если захочу что-то
конкретное в сети поискать(конечно подобное доступно и через wireshark dissectors).
Например, статистика по TLS SNI, полагаю она будет в штуках, а не байтах.
В open argus у меня был бы ответ еще и в байтах.
Короче больше тут никого не отвлекаю

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Тот_Самый_Анонимус_ (?), 27-Авг-25, 07:21 +/–

Админ просто ленится. Год назад было так:
https://www.opennet.me/opennews/art.shtml?num=61790
Теперь же про Wireshark ни слова.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (40), 27-Авг-25, 12:01 Скрыто ботом-модератором +/–

Северную Корею забыл.
(вроде все прекрасно знают что ТСПУ это самобытная поделка от rdp.ru, но у опеннетовских шизов как обычно альтернативная вселенная)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 25-Авг-25, 09:33	+15 +/–
А зачем смешивать два разных продукта в одной новости? Они как-то связаны?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #39

2. Сообщение от Аноним (2), 25-Авг-25, 09:33	–1 +/–
Спасибо, скачал)
Ответить \| Правка \| Наверх \| Cообщить модератору

4. Сообщение от Аноним (4), 25-Авг-25, 09:40	+3 +/–
nmap ещё Нео из первой Матрицы юзал, хакер.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33

6. Сообщение от rshadow (ok), 25-Авг-25, 10:47	+2 +/–
Когда уже РКН свои либы DPI в опенсорс выложит? (
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #29

7. Сообщение от крокодил мимо.. (-), 25-Авг-25, 11:58	+1 +/–
хотелось бы сравнение (кратко, основное) отличий со Snort.. лучше всего - перечень того, где оно лучше снорта и почему..
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #13

8. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 12:02	+4 +/–
Не могут, у них нет своих, у них то что наклянчили у Китая и Ирана
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #10, #11, #15, #40

9. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 12:03	–4 +/–
Отличия сетевого сканера от IDS? А отличия IDS от тарелки с кашей тебе надо в табличку свести?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #12

10. Сообщение от Аноним (10), 25-Авг-25, 12:10	+2 +/–
Там уже тестируют полную изоляцию: https://habr.com/ru/news/939266/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 25-Авг-25, 12:42	+/–
ага, под названием сендвайн :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

12. Сообщение от крокодил мимо.. (-), 25-Авг-25, 12:48	+2 +/–
> Отличия сетевого сканера от IDS? > А отличия IDS от тарелки с кашей тебе надо в табличку свести? вот про это и речь.. и то и то - позционируется как ids, но есть нюансы, о которых ни слова.. и да, сетевой сканер - это nmap, а zeek всё же немного другое..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (13), 25-Авг-25, 12:55	+1 +/–
Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять. Zeek умеет в правила от Snort, так что разницы кроме настроек особо никакой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #14, #30

14. Сообщение от крокодил мимо.. (-), 25-Авг-25, 14:03	+1 +/–
> Любой IDS выделяется лишь своим набором правил, которые кто-то должен обновлять. > Zeek умеет в правила от Snort, так что разницы кроме настроек особо > никакой. есть иное мнение.. например: https://tolumichael.com/snort-vs-suricata-vs-zeek/ и разница таки есть..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #22

15. Сообщение от Ценитель GPL рогаликов (?), 25-Авг-25, 14:21	+/–
С помощью оборудования китайской ZTE людям в России гадости делают?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #16

16. Сообщение от Эксконтрибутор FreeBSD (?), 25-Авг-25, 14:37	+/–
При помощи китайского и иранского софта DPI работают железки ТСПУ стоящие в разрыв каналов у провайдеров, нет тут никакого секрета
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #17

17. Сообщение от Ценитель GPL рогаликов (?), 25-Авг-25, 14:42	+/–
Оборудование там ZTE или уже засекретили?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

22. Сообщение от Аноним (13), 25-Авг-25, 16:46	–1 +/–
Водянка от иишечки по ссылке. Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут менять настройки сети. Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже. >и разница таки есть.. Настройки и потребление ресурсов. В остальном лучше опиши ее на своем опыте чем давать такие ссылки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #24

23. Сообщение от Аноним (23), 25-Авг-25, 19:20	–1 +/–
Нужно будет попробовать, хочу дома поставить, фильтровать трафик. Не всегда firewall подходит, когда нужно блокировать не сетевой протокол а например а уровне протокола приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору

24. Сообщение от крокодил мимо.. (-), 25-Авг-25, 20:02	+/–
> Водянка от иишечки по ссылке. > Вот настроил ты IDS, где-то получаешь алерты, по ним твои скрипты могут > менять настройки сети. > Меняешь IDS, правила теже, оставляешь формат алертов, скрипты теже. вы, наверное, с zeek дел вообще не имели, т.к. "правила теже" и "Zeek умеет в правила от Snort" - не соответствует действительности от слова "совсем"©.. не хотите читать ссылку выше - есть офсайт, где разжёвано про "pattern matching": https://old.zeek.org/manual/2.5.5/frameworks/signatures.html... тут ещё упомянут snort2bro как пример фейла автотрансфера правил снорт в бро/зик грубо говоря, zeek - не для ширнармасс.. субъективно.. p.s.: а то тут уже некоторые/многие "качать" собрались.. удачи.. мдэ..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #25, #28

25. Сообщение от Аноним (25), 25-Авг-25, 20:05	+1 +/–
404 Not Found
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #26

26. Сообщение от крокодил мимо.. (-), 25-Авг-25, 20:16	+/–
> 404 Not Found автоформатирование сбило ссылку.. а вы, как вижу, и не сообразили.. https://old.zeek.org/manual/2.5.5/frameworks/signatures.html
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (13), 25-Авг-25, 23:31	+/–
>не соответствует действительности ии от гугла так не считает https://www.google.com/search?q=zeek+snort+rules >You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive) >грубо говоря, zeek - не для ширнармасс.. субъективно.. Свой zeek DSL придумали, ок https://docs.zeek.org/en/master/scripting/basics.html Есть где-то база этих скриптов, которую коммунити или еще кто обновляет ?! Я не нашел ничего интересного кроме https://github.com/michalpurzynski/zeek-scripts
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #32

29. Сообщение от 12yoexpert (ok), 25-Авг-25, 23:38	+/–
а он ещё не выложил? он ведь на ваши налоги работает
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

30. Сообщение от кешка (?), 25-Авг-25, 23:47	–2 +/–
snort нуждается в pcre а zeek нет. pcre автор без фин. помощи быстро фиксить не хочет (был ньюс тут). так что снорт потенциально дырявее. так то, дядя.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

31. Сообщение от Аноним (31), 26-Авг-25, 00:04	+/–
Скачал пакет zeek_8.0.0-0_amd64.deb А зависимости zeek-core (= 8.0.0-0), zeekctl (= 8.0.0-0), zeek-core-dev (= 8.0.0-0), zeek-spicy-dev (= 8.0.0-0), zeek-zkg (= 8.0.0-0), zeek-client (= 8.0.0-0) где взять? А то пустышка получается, а не пакет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #36

32. Сообщение от крокодил мимо.. (-), 26-Авг-25, 00:59	+1 +/–
> ии от гугла так не считает > https://www.google.com/search?q=zeek+snort+rules >>You can use Snort rules with Zeek by loading signature files (e.g., using the -s flag or @load-sigs directive) как вы там про ии выше рассуждали? зачем тут ии, если есть офсайт: https://docs.zeek.org/en/master/frameworks/signatures.html выше приводил ссылку на примерную версию зика, где таки бросили поддержку snort2bro из-за остсутствия смысла в ней.. системы (снорт и зик) разные, с разными целями.. https://github.com/zeek/zeek/blob/master/man/zeek.8 -s read rules from given file и файл $INSTALLPATH/share/zeek/base/frameworks/signatures/main.zeek к снорту не имеет ни малейшего отношения, кроме того, что это "сигнатуры".. вернее их представления для зик-а.. >>грубо говоря, zeek - не для ширнармасс.. субъективно.. > https://docs.zeek.org/en/master/scripting/basics.html да, или учишь скрипты зика (и всю его кухню) или пользуешь snort (или suricata, если снорт-а не хватает и ресурсы позволяют) > Есть где-то база этих скриптов, которую коммунити или еще кто обновляет ?! если правильно понимаю, то: https://docs.zeek.org/en/master/script-reference/scripts.html референс, что обновляется/изменяется каждый релиз, на основе которого делаешь именно то, что тебе надо.. "коллекции" Purzynski уже 7 лет как (и она для "старого" bro, если по-хорошему).. без понимания скрипта, грузить что-то - идея так себе (это не однострочник на перле, но близко).. можно посмотреть: https://github.com/mvlnetdev/zeek_detection_script_collection и пинать поисковик(и) на тему: ?q=zeek+scripts+collection может где-то и ведётся какой-то "централизованный" хаб/котёл для скриптов зика от сообщества - не встречал.. обычно каждый пилит что ему надо.. извините за много букв..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #37

33. Сообщение от Аноним (33), 26-Авг-25, 01:53	+1 +/–
Мистер Робот все еще самая достоверная картина про хакеров из всех. А еще она познавательная: из нее я узнал про команду shred например.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (36), 26-Авг-25, 09:35	+1 +/–
Из AUR, конечно. А... ну да.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #31

37. Сообщение от Аноним (13), 26-Авг-25, 09:35	+1 +/–
>извините за много букв.. Не не, благодарю. Осознал что это удобный DSL если захочу что-то конкретное в сети поискать(конечно подобное доступно и через wireshark dissectors). Например, статистика по TLS SNI, полагаю она будет в штуках, а не байтах. В open argus у меня был бы ответ еще и в байтах. Короче больше тут никого не отвлекаю
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

39. Сообщение от Тот_Самый_Анонимус_ (?), 27-Авг-25, 07:21	+/–
Админ просто ленится. Год назад было так: https://www.opennet.me/opennews/art.shtml?num=61790 Теперь же про Wireshark ни слова.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

40. Сообщение от Аноним (40), 27-Авг-25, 12:01 Скрыто ботом-модератором	+/–
Северную Корею забыл. (вроде все прекрасно знают что ТСПУ это самобытная поделка от rdp.ru, но у опеннетовских шизов как обычно альтернативная вселенная)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8