+ Responder ao Tópico



  1. Alguém sabe porque o guardian 1.7 com o snort 2.0.5 não funciona,
    o snort reconhece normal os portscans, mas o guardian não faz
    nada, acho que tem quer mudar a maneira do guardian ler o arquivo
    alert do snort, o arquivo alert do snort deve estar com uma estrutura diferente,
    e não atualizaram o guardian, ele funfa bem com versões do snort 1.xx...
    estou tentando arranhar um pouco de perl aqui pra arrumar, mas
    se alguém souber como fazê-lo. Vlws!


    <IMG SRC="images/forum/icons/icon_biggrin.gif">

  2. #2
    HunTer
    Falai PiTsA

    me desculpe de não poder responder sua pergunta, mas vou fazer mais uma em cima dela hehehe

    onde vc conseguiu o guardian 1.7, no site do snort eu só encontrei o 1.6

    agradeço sua ajuda

    []´s




  3. if (defined($opt_d)) {print "$_\n";}

    if (/\[\*\*\]\s+(.*)\s+\[\*\*\]/){
    $type=$1;
    }
    if (/(\d+\.\d+\.\d+\.\d+):\d+ -\> (\d+\.\d+\.\d+\.\d+):\d+/) {
    &checkem ($1, $2, $type);
    }

    o treho que está incorreto seria estes dois IFs, que nunca estão entrando,
    verifiquei isto.. mas nem imagino que comparação/condição ele faz ae....



  4. é assim, o guardian fica verificando o arquivo de log do snort...

    o arquivo teria um conteudo mais ou menos assim:

    [**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 206.204.10.210 (THRESHOLD 6 connections exceeded in 1 seconds) [**]
    12/01-22:08:30.307928

    [**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 18 connections across 1 hosts: TCP(1<IMG SRC="images/forum/icons/icon_cool.gif">, UDP(0) [**]
    12/01-22:08:46.230231

    [**] [100:2:1] spp_portscan: portscan status from 206.204.10.210: 15 connections across 1 hosts: TCP(15), UDP(0) [**]
    12/01-22:09:07.958814

    ele abre o arquivo, se posiciona na ultiama posição dele, e fica verificando se há alguma coisa nova escrita abaixo dele..... olha o link

    null






Tópicos Similares

  1. problema guardian+snort
    Por doubt no fórum Segurança
    Respostas: 6
    Último Post: 08-10-2005, 06:53
  2. Velho e bom Atmel
    Por aheringer no fórum Redes
    Respostas: 1
    Último Post: 23-05-2004, 00:18
  3. snort + guardian...
    Por no fórum Servidores de Rede
    Respostas: 12
    Último Post: 17-03-2004, 06:10
  4. Snort+Guardian
    Por no fórum Segurança
    Respostas: 10
    Último Post: 12-11-2003, 09:39
  5. SNORT + GUARDIAN...
    Por no fórum Segurança
    Respostas: 2
    Último Post: 18-07-2003, 07:52

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L