testando o snort

biosterlinux · 04-08-2005, 15:06

Caros amigos, eu estou utilizando o snorte gostaria de testa-lo.
ou melhor testar suas regras!!

o meu snort está funcionando perfeitamente, criei regras basicas em determinadas portas e usei o comando resp:rst_all,icmp_all pra resetar as conexões e deu tudo certo.

Porém eu gostaria de simular algum ataque mesmo, pra ver se as regras dele funiona mesmo.
Ja me cadastrei no site do snort, fiz o download das regras atualizadas e tal...
Porém estou meio desanimado com ele, pelo seguinte motivo:
Por eu ser muito largo (puta merda) meu ip está sendo alvo de ataques ddos, e meu link cai a zero, fica uma bosta.
Pra ver os acessos que estao fazendo aqui, fico monitorando com o iptraf, software esse que me mostra todos os tipos de acessos, inclusive aqueles que estao sendo barrados com o iptables.
Bom, quando eu barro com o iptables meu link volta a ficar rápido, porém as tentativas continuam.
E isso (quando eu abro no iptables), o snort deveria pegar, pois estou utilizando a sua regra (ddos.rules) atualizada, mas ele nao pega.

Ai eu deixei isso de lado e acabei encontrando um outro programinha de brute force, o unsecure, coloquei ele pra rodar aqui, e o que aconteceu? O SNORT TB NAO O DETECTOU!!!

Quanto ao ddos eu ainda dei uma chance, pois nao sei de onde vem e o cara pode estar usando uma tecnica nova e tal, mas esse de brute force que eu consegui na net é bem simple e antigo, o snort tinha que detectar!!

Eu precisava de algum aplicativo, ou instruções pra fazer ataques aqui, só que o snort tem que pegar!!

alguém ja testou o snort assim, simulando um ataque real??
o snort detectou o ataque?
que tipo de ataques testaram?
será que o problema são as regras do snort que são fracas?
tem outro lugar que posso encontrar mais regras para o snort?

Vejam bem, o snort está funcionando!!
Lembrando que eu ja criei regras para acessos a porta 139 por exemplo com a opção de resetar a conexão e deu tudo certo, ele criou o alert e resetou todas as minhas tentativas de acesso, então esses ataques que ele nao pegou (ddos e brute force é pq o ataque nao coincidiu com nenhuma de suas regras!!

Por favor, me ajudem.

Um abraço a todos.
Fernando

alex_sorocaba · 07-10-2005, 10:55

o snort ai tah soh te avisando o que tá acontecendo, pra ele começar a bloquear instale o guardian.

evite usar palavras de baixo calão, num pega bem

04-08-2005, 15:06	#1 (permalink)
biosterlinux Registrado em: Jun 2004 Idade: 26 Posts: 75 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	testando o snort Caros amigos, eu estou utilizando o snorte gostaria de testa-lo. ou melhor testar suas regras!! o meu snort está funcionando perfeitamente, criei regras basicas em determinadas portas e usei o comando resp:rst_all,icmp_all pra resetar as conexões e deu tudo certo. Porém eu gostaria de simular algum ataque mesmo, pra ver se as regras dele funiona mesmo. Ja me cadastrei no site do snort, fiz o download das regras atualizadas e tal... Porém estou meio desanimado com ele, pelo seguinte motivo: Por eu ser muito largo (puta merda) meu ip está sendo alvo de ataques ddos, e meu link cai a zero, fica uma bosta. Pra ver os acessos que estao fazendo aqui, fico monitorando com o iptraf, software esse que me mostra todos os tipos de acessos, inclusive aqueles que estao sendo barrados com o iptables. Bom, quando eu barro com o iptables meu link volta a ficar rápido, porém as tentativas continuam. E isso (quando eu abro no iptables), o snort deveria pegar, pois estou utilizando a sua regra (ddos.rules) atualizada, mas ele nao pega. Ai eu deixei isso de lado e acabei encontrando um outro programinha de brute force, o unsecure, coloquei ele pra rodar aqui, e o que aconteceu? O SNORT TB NAO O DETECTOU!!! Quanto ao ddos eu ainda dei uma chance, pois nao sei de onde vem e o cara pode estar usando uma tecnica nova e tal, mas esse de brute force que eu consegui na net é bem simple e antigo, o snort tinha que detectar!! Eu precisava de algum aplicativo, ou instruções pra fazer ataques aqui, só que o snort tem que pegar!! alguém ja testou o snort assim, simulando um ataque real?? o snort detectou o ataque? que tipo de ataques testaram? será que o problema são as regras do snort que são fracas? tem outro lugar que posso encontrar mais regras para o snort? Vejam bem, o snort está funcionando!! Lembrando que eu ja criei regras para acessos a porta 139 por exemplo com a opção de resetar a conexão e deu tudo certo, ele criou o alert e resetou todas as minhas tentativas de acesso, então esses ataques que ele nao pegou (ddos e brute force é pq o ataque nao coincidiu com nenhuma de suas regras!! Por favor, me ajudem. Um abraço a todos. Fernando

07-10-2005, 10:55	#2 (permalink)
alex_sorocaba Registrado em: Aug 2005 Posts: 68 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	testando o snort o snort ai tah soh te avisando o que tá acontecendo, pra ele começar a bloquear instale o guardian. evite usar palavras de baixo calão, num pega bem __________________ cuidado

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Testando relay no sendmail	ferjun01	SPAM	3	31-03-2006 11:47
TESTANDO + CODIGO + DO + PITSA + VAMOS + VER + SE + FUNCIONA	scorpion	UnderLinux	24	13-03-2005 14:53
Testando regras do CBQ.	Hacinn	Proxy/NAT/Firewall	2	10-10-2004 16:54
testando hierarquia no proxy....	flipeexpl	Proxy/NAT/Firewall	2	29-05-2004 08:32
Testando o ambiente Gráfico	Mandrake	Iniciantes	3	11-01-2003 08:08

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email