+ Responder ao Tópico



  1. #1

    Padrão Monitoranto com snort

    ola a todos eu instalei o snort aki, e coloquei ele para monitorar um monte de serviços kazaa, emule, e worn tambem, e tem alguns ips aque estão aparecendo no log. por exemplo:

    [**] [116:47:1] (snort_decoder) WARNING: TCP Header length exceeds packet length! [**]
    09/08-11:22:35.151754 201.24.75.237:0 -> 201.24.133.202:0
    TCP TTL:123 TOS:0x0 ID:64943 IpLen:20 DgmLen:48 DF
    ***AP*** Seq: 0xFC234F39 Ack: 0xDCC4BED Win: 0xFFFF TcpLen: 48


    So que não se isto foi uma tentativa de invasão ou uma invasão sucedida.
    Alguem poderia me mandar um log ou informar como e que e um log de tentativa de invasão e outro de invasão bem sucedidada.
    Desde ja agradeço

  2. #2
    charadaa
    Visitante

    Padrão Monitoranto com snort

    então cara aconselho vc a usar tambem um monitor de trafego de rede de modo que vc conseguisse ver quanto foi transmitido entre seu ip e este, mas pode não ser nada pois se fosse possivelmente o invasor teria apagado as informações referentes a ele do seu log, faça o teste veja se o pacote morre na tentaiva de conexão se há alguma resposta da sua maquina para o ip do suposto invasor, qq coisa posta aq.

    Abraços



  3. #3
    ariane
    Visitante

    Padrão Monitoranto com snort

    Um dica aih
    Olha para analisar o trafego de pacotes e serviços na tua rede, voê pode utilizar as ferramentas ntop e iptraf.

    Eu gostei delas, mas ando tb pesquisando.

    O ntop gera relatório na browser de trafego da rede, dominios acessados e serviços, têm muitas informações

    O iptraf, eh em modo texto, ele mostra facilmente a quantidade de pacotes trafegados, e ainda faz o dns reverso, eh bem pratico, ah ele coloca tua placa em modo promisc.

    artigo sobre o ntop http://www.vivaolinux.com.br/artigos...hp?codigo=2825

    iptraf http://cebu.mozcom.com/riker/iptraf/2.7/manual.html