+ Responder ao Tópico



  1. 04-08-2005, 16:06 #1
    biosterlinux
    biosterlinux está desconectado
    Avatar de biosterlinux
    Ingresso
    Jun 2004
    Posts
    75

    Padrão testando o snort

    Caros amigos, eu estou utilizando o snorte gostaria de testa-lo.
    ou melhor testar suas regras!!

    o meu snort está funcionando perfeitamente, criei regras basicas em determinadas portas e usei o comando resp:rst_all,icmp_all pra resetar as conexões e deu tudo certo.

    Porém eu gostaria de simular algum ataque mesmo, pra ver se as regras dele funiona mesmo.
    Ja me cadastrei no site do snort, fiz o download das regras atualizadas e tal...
    Porém estou meio desanimado com ele, pelo seguinte motivo:
    Por eu ser muito largo (puta merda) meu ip está sendo alvo de ataques ddos, e meu link cai a zero, fica uma bosta.
    Pra ver os acessos que estao fazendo aqui, fico monitorando com o iptraf, software esse que me mostra todos os tipos de acessos, inclusive aqueles que estao sendo barrados com o iptables.
    Bom, quando eu barro com o iptables meu link volta a ficar rápido, porém as tentativas continuam.
    E isso (quando eu abro no iptables), o snort deveria pegar, pois estou utilizando a sua regra (ddos.rules) atualizada, mas ele nao pega.

    Ai eu deixei isso de lado e acabei encontrando um outro programinha de brute force, o unsecure, coloquei ele pra rodar aqui, e o que aconteceu? O SNORT TB NAO O DETECTOU!!!

    Quanto ao ddos eu ainda dei uma chance, pois nao sei de onde vem e o cara pode estar usando uma tecnica nova e tal, mas esse de brute force que eu consegui na net é bem simple e antigo, o snort tinha que detectar!!

    Eu precisava de algum aplicativo, ou instruções pra fazer ataques aqui, só que o snort tem que pegar!!

    alguém ja testou o snort assim, simulando um ataque real??
    o snort detectou o ataque?
    que tipo de ataques testaram?
    será que o problema são as regras do snort que são fracas?
    tem outro lugar que posso encontrar mais regras para o snort?

    Vejam bem, o snort está funcionando!!
    Lembrando que eu ja criei regras para acessos a porta 139 por exemplo com a opção de resetar a conexão e deu tudo certo, ele criou o alert e resetou todas as minhas tentativas de acesso, então esses ataques que ele nao pegou (ddos e brute force é pq o ataque nao coincidiu com nenhuma de suas regras!!

    Por favor, me ajudem.

    Um abraço a todos.
    Fernando
    Citação Citação
  2. 07-10-2005, 11:55 #2
    alex_sorocaba
    Visitante

    Padrão testando o snort

    o snort ai tah soh te avisando o que tá acontecendo, pra ele começar a bloquear instale o guardian.

    evite usar palavras de baixo calão, num pega bem
    Citação Citação



« Tópico Anterior | Próximo Tópico »