Comments 23
Чем отличается SNORT от SourceFire?
Это мне известно )
Собственно, вопрос поэтому и возникает. SourceFire продает ынтырпрайзные железки за многаденег под своим брендом. Хочется понять разницу на функциональном уровне.
Собственно, вопрос поэтому и возникает. SourceFire продает ынтырпрайзные железки за многаденег под своим брендом. Хочется понять разницу на функциональном уровне.
В этом документе на 4й странице уютная сравнительная таблица есть: www.computerlinks.sg/FMS/3403.snort_intrusion_agent_factsheet.pdf
Извините за занудство, но перед словом «как» не всегда ставится запятая, и в заголовке данного поста она не нужна.
Расскажите, пожалуйста, можно ли использовать snort для обнаружения Ddos-атак без декодирования пакетов? Насколько эффективны правила вида:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
Снорт? Для отражения DDoS? Да вы чего??
Технически можно — обнаружить вы скорее всего успеете. Но смысла нет, так же легко констатировать ддос можно, обнаружив падение сервиса. Смысл обнаружения и наблюдения DDOS в том, чтоб можно было оценивать эффективность принимаемых мер, то есть сама система наблюдения за DDOS должна быть уязвима в гораздо меньшей степени. В описанном случае лучшим источником по которым следует наблюдать ddos являются счётчики на активном сетевом оборудовании.
Snort это, конечно, очень гибкий инструмент, но нацелен он на обнаружение\предотвращение вторжений.
Snort это, конечно, очень гибкий инструмент, но нацелен он на обнаружение\предотвращение вторжений.
в системах с пакетным менеджментом… нужно по аккуратнее с make install.
в идеале, забыть про make install
правильный вариант сделать пакет и установить его
sudo auto-apt update && auto-apt -y run ./configure
checkinstall -D
sudo dpkg -i ваш_пакет.deb
Установка пакетов по запросу
www.debian.org/doc/manuals/apt-howto/ch-search.ru.html
Как правильно компилировать
vasilisc.com/tips_ubuntu#right_compile
в идеале, забыть про make install
правильный вариант сделать пакет и установить его
sudo auto-apt update && auto-apt -y run ./configure
checkinstall -D
sudo dpkg -i ваш_пакет.deb
Установка пакетов по запросу
www.debian.org/doc/manuals/apt-howto/ch-search.ru.html
Как правильно компилировать
vasilisc.com/tips_ubuntu#right_compile
Спасибо, интересно.
А что именно make install может поломать? Какие косяки могут быть результатом make install и как с ними бороться?
А что именно make install может поломать? Какие косяки могут быть результатом make install и как с ними бороться?
make install ставит в обход системы управления пакетов, может установить в не принятые в данном дистрибутиве пути.
установленная программа в системе никак «не зарегестрирована».
нельзя штатно обновить/удалить программу и тд и тп
в системах с пакетным менеджментом нужно всячески стремится использовать пакеты
1) лучше в репозиториях
2) хотя бы из одиночных пакетов
3) создавать пакеты из исходников и делится ими, чтобы не «опять-двадцать-пять»
установленная программа в системе никак «не зарегестрирована».
нельзя штатно обновить/удалить программу и тд и тп
в системах с пакетным менеджментом нужно всячески стремится использовать пакеты
1) лучше в репозиториях
2) хотя бы из одиночных пакетов
3) создавать пакеты из исходников и делится ими, чтобы не «опять-двадцать-пять»
Если делаете 'make install' на пакетном дистрибутиве, вызывайте как минимум:
configure --prefix=/usr/local
configure --prefix=/usr/local
checkinstall — это тоже quick&dirty хак. Если совсем по фен-шую, то нужно собирать пакеты с помощью debuild и майнтейнить собственный PPA.
Ну а чем вам анализатор снорта snorby.org не понравился? По сравнению с тем же (BASE, ACID…) он выгодно отличается в лучшую сторону. Намного лучшую)
Я 2 дня пытался его запустить, но драйвер для связи с субд работать так и не начал. И ruby я не знаю.
Позвольте поинтересоваться, что вы искали по запросу «kiss my babushka» или это чисто пасхальное яйцо?
UFO just landed and posted this here
А как вы думаете — удобно анализировать ( правилами ) TCP трафик в или например HTTP. Как я понял препроцессоры могут переводить TCP в HTTP, или я что то путаю? На каком уровне рекомендуется анализировать. Спасибо
Sign up to leave a comment.
SNORT как сервисная IPS