Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Snort: проблема с поиском правил  (Прочитано 205 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Gigazo1d

  • Автор темы
  • Новичок
  • *
  • Сообщений: 23
    • Просмотр профиля
Добрый день уважаемые форумчяне!

Столкнулся с проблемой поиска стандартных правил на сервере. Имеется связка Snort + Barnyard2 + PulledPork + MySQL + BASE.

Получается найти не все правила, которые загружает PulledPork, поясню.

Смотрим Алерт
(Нажмите, чтобы показать/скрыть)

Заходим на сайт Snort и смотрим sid правила:
(Нажмите, чтобы показать/скрыть)

Затем ищем правило в файле с правилами, все хорошо, правило на месте:
(Нажмите, чтобы показать/скрыть)

Теперь к проблеме.

Смотрим другой Алерт:
(Нажмите, чтобы показать/скрыть)

sid не показывает, но могу предположить, что он и есть в адресной строке
(Нажмите, чтобы показать/скрыть)

Смотрим базу
(Нажмите, чтобы показать/скрыть)
Вроде как похож, правда без префиксов после тире, и на несколько алертов один и тот же sid. Что-то не то.

В файле с правилами по данному sid'у тоже ничего не находит:
(Нажмите, чтобы показать/скрыть)


Подскажите куда копать и найти данные (ложносрабатывающие) правила, люди добрые. Уже всю голову сломал и матюгаться сильно хочется =))

« Последнее редактирование: 28 Июнь 2020, 10:36:49 от Gigazo1d »

 

Страница сгенерирована за 0.097 секунд. Запросов: 24.