今までになかったsnortについて語るスレ。

1 ：2005/06/10 〜 最終レス ：2013/05/09

市販のFWソフトやBlackICEでは物足りないという、中堅クラスの人達が集うスレを立ててみました。
IDS（Intrusion Detection System）の代表的なものに、「snort」が挙げられますが、なにしろ設
定が大変そう。
そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、
みなさん積極的な参加をお待ちしております。
「以下参考」
日本snortユーザー協会
http://www.snort.gr.jp/
snortの導入
http://jem.serveftp.com/
※　ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。
※　荒しも厳禁。

2 ：

snortってなんだ、不正アクセス検知システムのことか？

3 ：

検知してもブロックしてくれないので・・・

4 ：

だけど他のルータとLANの間に立てて検知できるソフトってあるの？

5 ：

Snortって検知して自動で防御はしてくれるの？それとも検知だけ？
BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど

6 ：

俺は物は試しでsnort入れた事あるよ。
コマンド入力マンドクセなのでＧDIツール落としてそれで設定したりして使ってたけど…
その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。
今は反省している。
誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも
何もかも全部日本語化してくれたら使えそう。
初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。

7 ：

>>6
英語嫁内定脳が、コマンド入力マンドクセって言い訳してるだけかよ。

8 ：

うーん、単純な質問であれなんだけど、結局何故BlackIceではいけないの？
試しに入れてみろ、と言われそうだが、今より何が良くなるのか
解説サイトみてもよく分からないんだよなぁ・・・

9 ：

や、BlackICEでいいと思うぞ？
snortだとフリーソフトってのとWin以外のプラットフォームで
ルールセットが使い回せるってメリットはあるが。
BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。

10 ：

おまいら、もうちょっとがんがれ。

11 ：

前にsnort入れてみようかと考えてたとき、snortスレ探してもなかったんだよなぁ
あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの？

12 ：

春くらいからだったかな。
登録しないと落とせないようになったね。

13 ：

登録ってか有料になったんじゃないのアレ
クレカ入力要求された・・・
誰か・・

14 ：

無料だお。ちみ達もユーザー会MLに入っとけ。
ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html

15 ：

●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html
●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

16 ：

age

17 ：

snort-inlineだったらファイアーオールのiptablesと連動して
防御してくれるはずだが
設定の仕方がわからんね

18 ：

Winで動くか知らんけど、UN*Xで動かすならreactつかってRSTでたたき落とすとかできる。
PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。

19 ：

ただで済ますことに意義があるのれす

20 ：

てすと

21 ：

このスレは、レベル他界の

22 ：

linuxは構築できたけどwinのほうは馬喰いかね
iptablesでsnort-inlineに飛ばしてdrop
clamavでも drop してくれるようだ

23 ：

買収されたしシグネチャも登録しないと公式のものは使えないし、
オープンソースではあるけど、完全にユーザの手を離れてしまったな。
他のIDS, IPSと比べても技術的優位性も特にない。

24 ：

保守

25 ：

鳴り物入りで始めて本まで出したSnort-jpの方々は
この現状をどうするのか知りたいなと

26 ：

ttp://slashdot.jp/security/05/10/19/0357246.shtml
Snort に危険な脆弱性
yooseeによる 2005年10月19日 13時00分の掲載
盾が刃に変わるとき部門より．
バグ
セキュリティ
yosshy曰く、"ITmedia の記事より。
オープンソースのネットワーク侵入検知システム「Snort」の
バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、
バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。
この脆弱性は UDP パケット１つで簡単に悪用できる上、
Back Orifice のデフォルトポート 31337/UDP に限定されないため、
ワームの拡散に繋がる恐れがあると指摘されている。
対策としては Back Orifice プリプロセッサを無効化するか、
バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。

ITmedia
ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html

27 ：

クローズドソースになる訳でなく、料金取るわけでもなく、
登録すれば今までどおり普通に使えてるし。
現状、特に気にしなくて良いんじゃね？
だから平静なんだよ。なので、２３も２５も、餅付け。
てか、がんがれ

28 ：

>>26
# ls -l
drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3
-rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz
-rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz
そして
[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF
Len: 268
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]

>>26
>>26

29 ：

>>28
snortが動いてる姿は
# ps -ax | grep snort
23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno
2319 p0 D+ 0:00.01 grep snort
http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html　が詳しい。

30 ：

snort入れる場合、ハードウェアの推奨スペックってどんなもんかね
CPUよりもメモリ重視の方がいいかね
できるだけ取りこぼしたくないんだが
20Mﾋﾞｯﾄ/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが

31 ：

oinkmasterで　ルールのアップデートは
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
な感じ。
20Mﾋﾞｯﾄ/secは　どうやっったらわかるの?
俺のは
# dmesg | grep mem
real mem = 133799936 (130664K)
avail mem = 115466240 (112760K)
using 1658 buffers containing 6791168 bytes (6632K) of memory
# dmesg | grep cpu
cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX
cpu0: F00F bug workaround installed
cpu0 at mainbus0
と低いスペック。
[**] [1:1715:6] WEB-CGI register.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/10-04:32:54.964684 192.　　　　　　　　　　:64753 -> 199.　　　　　　　　　:80
TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF
***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 371408 3315054125
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]

32 ：

>>31
https://www.snort.org/pub-bin/register.cgi　で登録しないといけないよ。
今
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
に代えた。　
なお4-nantara-kantara-6は　https://www.snort.org/pub-bin/register.cgiのpassword　だよ。

33 ：

Bleeding snort rulesはどうよ？

34 ：

cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz
wget http://www.bleedingsnort.com/bleeding.rules.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
tar xvzf bleeding.rules.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
してから
/usr/local/snort/etc/snort.conf に <
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
をくわえて、snort再起動ではどうかな

35 ：

いかん、bleeding.rulesをくわえるとすぐにsnortのプロセスがなくなるねー

36 ：

それで　次のスクリプトはどうだろか
修正希望
down=`ps -ax | grep snort | grep ascii`
if [ -z "$down" ]; then
/usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort
fi

37 ：

Win版のAirSnort使ってる方おります？
DWL-650使えと言うんだけど、互換チップで最近の
802.11a/b/g対応のPCカードってどんなのありますか？
家のはorinocoのドライバモードで一応動いてはいるんですけど
詳しい方おながいします
　　　

38 ：

まず、AirSnortとSnortは別物だと理解しているか？

39 ：

っていうか
12/31/04 - Cisco users on Windows should choose the DWL-650 card type
という文面から >>87 と訳してるようじゃ、使いこなせっこない。

40 ：

OSにFedoraCore3を使用しているんですが、libpcapとpcreがﾃﾞﾌｫﾙﾄではいってるんだけどこのまま使っていいのかなぁ。
ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・
あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね？
OSはインストールしたばかりの状態なんですが。
このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・
http://jem.serveftp.com/security/index.html
このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。
情報がすくないですがどなたか助言いただけないでしょうか？

41 ：

エスパーさん出番です。

42 ：

TCP SYN flood攻撃のようなDoSの簡単な対処として同一の偽造IPから短期間に大量のパケットがきたら検知できるようにしたいんですけどどんなルールにすればいいでしょうか？
それとログの出力をIPアドレスだけにってできないんですかね〜？現在調べながら設定中ですがなかなか難しいですね^^；

43 ：

保守

44 ：

Snort初心者なので教えてください。
PC版をインストールしてみたのだけど、ためしに起動するときに、-iの
パラメータはどのように設定するのか教えていただけますか？。
ＵＮＩＸ版ではeth1とか指定してNICの指定を行うようなのですが？。

45 ：

snort -Wでインターフェイス番号と
実NICの対応がわかるんではないかな？

46 ：

正直マニュアルも読まないような奴がSnortを使いこなせるとは思えない。
あと、こんなのもあるな。
http://www.stillsecure.org/

47 ：

すみません、ちょっと教えていただきたく。
現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが
snort.confにて
output database: log, mysql, user=xx password=xx dbname=snort host=localhost
と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている
状況です。
MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある
んですが…
何か間違っているところや設定不足なところがあるようでしたらお願いします。
ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。

48 ：

>47
1.mysqlが実は動いていない
2.mysqlにテーブルつくってない
3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して
select * from event; したら書かれてる
mysql -u xx -p snortで
show tables;
でちゃんとテーブルつくられてんの？
openaanvalがいつのまにか aanvalオンリーになっててちょっとショック

49 ：

>>48
レスありがとうございます。
１．ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは
　ちゃんとMySQLにアクセスできています。
２．dumpしましたがちゃんと作られていました。
３．コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。
show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。
ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに
アクセスできることは確認しています。

50 ：

show tables;の結果は？

51 ：

↑誤爆

52 ：

あれからsnortをコンパイルし直したり、コンフィグを1から書き直しして
みたりしたけど、結局解決せず…
結局ログを自力で解析するスクリプト作って解決させますた…

53 ：

Snortから派生したのはかなり前だと記憶してるけど、一時期停滞してたHogwashが復活したようなので。
http://hlbr.sourceforge.net/index-jp.html
In-lineで動かしたSnortとはまた別のことができるのね。

54 ：

日本Snortユーザ会、やる気ないならやめればいいのになぁ。
存在価値ないだろ。

55 ：

FreeBSDでとりあえずsnortをインストール、さらに適当にルールを拾ってきて動かしてみました。
分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、
いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、
これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。
modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、
このへんのことが解説されている情報が見つけられなくて困っています。
ご存知名方がいらっしゃったらご教示いただければ幸いです。
(的外れなことを書いているようでしたら容赦なくご指摘ください)

56 ：

>>55
シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない？
で、やりたいことはmodifysidとか設定すればできるみたいだね。
oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。
何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。

57 ：

>>56
確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした)
ありがとうございました。
modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。
アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。
最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。

58 ：

snortを久しぶりに使おうといじっているんですが、
以前はダンプされるファイル名が昔はIPアドレスごとだったのに、
すべてひとつのファイルに保存されてしまって少し不便に感じています。
設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?

59 ：

>>58
話題のない日本Snortユーザ会のMLに投げろ。

60 ：

FreeBSD6-STABLE+PFの環境で、ゲートウェイマシンにSnort入れて使ってます。
WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは
あまりフィルタリングしていません。
先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、
WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。
(iplogは検知してます)
これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか？
もしそうならどうすればiplogのような挙動にできるでしょうか？
よろしくお願いします。

61 ：

>>60
話題のない日本Snortユーザ会のMLに投げろ。

62 ：

>>60
以前、検証したら pf や ipfw などの処理をした後で
libpcap が動いているみたいだから無理だと思います。
投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。

63 ：

ところでみんな、snortで狙っている不正アクセスがもし見つかった場合、
どうやって検知してる？
たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を
とるときはどうやっているか、という話。
夜中にLIMEWIRE使ったユーザが３時間も４時間も居た場合、その時間同じ報告メールが大量に来るわな。
それを避けたい場合どうするかなんだが。
syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって
「指定した文字列を受信したらこうする」という設定をしていた場合、
その通信が続く限り同じ処理を繰り返すでしょ？

64 ：

>>63
少しはマニュアル読め
ヒントだけ書いておいてやる
threshold

65 ：

>>64
snortのマニュアルってことかね？

66 ：

>>65の投稿取り消し。
>>64
すまんかった。解決しそう。ありがとうございます。

67 ：

WANルータ
　｜
　｜
　 +-----IDS(Snort)
　｜
　｜
ＦＷ
　｜
　｜
内部

WAN側をIDSで監視していると、P2Pアラートが出た。
IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。
しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。
内部からの通信は例外なくＦＷを通過する。
二重化したＦＷログサーバ両方を調べたが、無かった。
こうしたことがちょくちょくある。
考えられる要因は何だろう。

68 ：

>>67
ありえんだろそれ

69 ：

sSnortを稼動させつつ、IPLOGを稼動させるっていうのはかなり無謀でしょうかね。
CPU処理的にはMAX70%ほどで、平均で40％ほど。

70 ：

あっー!!

71 ：

【これは除外してもよさそうだが、どうか？】
BLEEDING-EDGE WEB Google Desktop User-Agent Detected
BLEEDING-EDGE POLICY ICQ Message
BLEEDING-EDGE POLICY MSN status change
BLEEDING-EDGE POLICY ICQ Status Change (1)
BLEEDING-EDGE POLICY Gmail Message Send
BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on
BLEEDING-EDGE POLICY Skype User-Agent detected
【これは？】
spp_rpc_decode: Incomplete RPC segment
BLEEDING-EDGE POLICY iTunes User Agent
BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture
BLEEDING-EDGE MALWARE DelFin Project User Agent
BLEEDING-EDGE Potential MySQL bot scanning for SQL server
BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host)
BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent
BLEEDING-EDGE MALWARE Target Saver Spyware User Agent

M

72 ：

FC5にSnort入れたんだが、起動直後から260MBもメモリ食ってる・・・
物理メモリは2GBでこれって普通？

73 ：

snort使ってる人は、ソースからインスコしてんのかな？
パッケージからDLしてもいいけど、2.3系の所が多いし
ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか
エラー吐くし・・・。2.3系で使ってても問題ないのかな？
ちなみに、鳥はdebian-sargeでつ。

74 ：

ｐｓｐでｓnortできる？wep解析したいから
教えて、すげー人

75 ：

>>74
どこからつっこんでほしい？

76 ：

別にいいから教えて

77 ：

＼　　 　　　　 　　　　　　　�U　　　　　　 　 /
　 ＼　　　　　 　　　　　　　�U　　　　　 　 /
　　　　　　　　　　　　　／￣￣　ヽ,
　　　　　　　　　　　　/　　　　　 　 ',　　　　　　/　　 　　＿/＼／＼/＼／|＿
　　　 ＼　　　 ﾉ//, {0}　 /¨`ヽ　{0}　,ﾐヽ　 　 /　 　　 ＼　　 　　　　　　　／
　　　　　＼ ／　く　ｌ　　 ヽ._.ノ　　　', ゝ　＼　　　 　　 ＜　　バーーカ!　 ＞
　　　　　／ ／⌒　ﾘ　　　｀ー'′　　 ' ⌒＼ ＼　　　　／　 　　　　　　　　＼
　　　　　(　　￣￣⌒　　　　　　　　　　⌒￣　＿)　　　￣|／＼/＼/＼/￣
　　　　　　｀￣￣｀ヽ　　　　　　　　　　　/´￣
　　　　　　　　　　　|　　　　　　　　　 　 |
　　−−− ‐　　　ﾉ　 　　　　　　　　　｜
　　　　　　　　　 ／ 　　　　　　　 　 　ﾉ　　　　　　　 −−−−
　　　　　　　　 /　　　　　　　　 　　∠＿
　　−−　　　|　 　 f＼　　　　　　ﾉ　 　 ￣`丶.
　　　　　　　　| 　 　|　　ヽ＿＿ﾉー─-- ､_ 　　）　　　　−　_
.　　　　　　　 ｜　　| 　 　　　　　　　　　/　　/
　　　　 　　 　｜　｜　　　　　　　　　　,'　　/
　　　　／ 　／　　ﾉ　　　　　　　　　 　| 　 ,'　　　 ＼
　　　　　　/ 　 ／ 　 　　　　　　　　 　|　 /　　　　　 ＼
　　　／_ノ　／　 　 　 　　　　　　　　,ﾉ　〈 　 　 　 　 　 ＼
　　　　(　 〈　　　　　　　　　　　　 　ヽ.__　＼　　　　　　　　＼
　　　　　ヽ.＿>　　　　　　　　　　　　　　＼__)

78 ：

某所でsnort,mysql,barnyard,swatch,oinkmaster,Honeynet Security Console(HSC)で
システムを構築した。
オープンシステムの時代だよ・・・なんていう客のニーズに応えたつもり。
priority１の警報は、管理者にメールするように設定した。
ところが保守運用のフェーズになった今、ルールファイルの更新をどうするやら、
アラート発生時の対処法をマニュアル化しろとか・・・もう参りました。
オープンシステムを選択したのはユーザの責任、システムを構築した俺たちがそこまで
面倒を見る必要があるのか？
HSCなんてバグだらけの糞だよ！　俺たちには責任はない。でも俺たちに明日はない。

79 ：

>>78
>もう参りました。
契約範囲を明確にしてないお前が悪い。
>俺たちには責任はない。
自分のスキルの低さを棚に上げて、オープンソースの製品を使うお前が悪い。

80 ：

Snort-users-jp の終えん。
本家のMLは活発なのになぁ。どうでもいい内容も多いけど。

81 ：

レベル高けーな。>74-77

82 ：

体験版収集家よりマシだろ

83 ：

age

84 ：

>>7
罵倒は簡単にできるけど的確なアドヴァイスは難しいですね

85 ：

>>80
やっぱSnortの最新の情報とかを知るには
本家のML等を利用するしかないのですね。
英語読むの頑張ってみます。。。

86 ：

Snortって定義ファイルの更新有料化したの？
なんか、ルールダウンロードしようとしたら料金表が出てきたんだが。。。

87 ：

>>86
英語読めない奴は使わなくていいってことだよ。

88 ：

たかが監視だけのソフトに必死になる必要がないことに気づいた。

89 ：

ルータに位置するPCでhttpのPOST内容の記録と出来ればフィルタを行いたいんだが、
snort使うべきでしょか

90 ：

>89
検知はともかくフィルタするのは面倒くさいとおもう。
あとHTTPの通信に限るのであれば、IDS使うよりも、
WAFを使ったほうが細かい事ができる。
フィルタするなら、サーバ側にインストールする必要があるけど
Apacheのmod_securityとか。

91 ：

保守

92 ：

snortrules-snapshot-CURRENT.tar.gzをダウンロードしたが、
展開しようとするとエラーになる。
...
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/smtp.so
so_rules/precompiled/Ubuntu-8.04/x86-64/2.8.2.2/netbios.so
gzip: stdin: unexpected end of file
tar: アーカイブ中に予期せぬ EOF があります
tar: アーカイブ中に予期せぬ EOF があります
tar: エラーを回復できません: 直ちに終了します
家のPCから借りてるCentOSサーバにアップロードしたんだが、
これで終了してしまう。何がいけないんだろ。

93 ：

snortで検知してkerioでフィルタする。

94 ：

保守的

95 ：

hoshu

96 ：

Unknown keyword ' dce_iface' in rule!

97 ：

This is all a bunch of very noisy people projecting their own issues concerning race onto two wannabe-gangsta robots. ,

98 ：

Snort 2.8.6 リリース

99 ：

誰かSuricata使ってる人いないの？
https://redmine.openinfosecfoundation.org/

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【ＢＩＯＳ】パスワードどっちが強い？【Windows】 (118)
【AOL】Active Virus Shield【AVS3】 (173)
Akamaitechnologiesって何よ？ (118)
avast!に重大な脆弱性[05/10/14] (189)
ウイルス警告がでたらageるスレ　Part01 (174)
不正ＰＲＯＸＹ使用ですか、、、？ (134)
--log9.info------------------
【HONDA】　Z　GF-PA1　【ゼット】　part4 (163)
ラパンSSその14■□■SUZUKI Lapin SS■□■ (536)
【ekワゴンとI（アイ）】 (202)
タント乗り既婚者　＞＞＞　独身スポ車乗り (122)
軽で遠乗りどこまで行った？2 (831)
Vitz ﾌｨｯﾄ ﾏｰﾁ ﾃﾞﾐｵ ｽｲﾌﾄ乗りに軽を叩く権利は無い (164)
スバルサンバー・ディアス　56 (196)
軽1BOX総合 (127)
スバルのｽﾎﾟｰﾂｼﾌﾄ7速CVT【F1じゃないんだ！】 (118)
【スバル】　プレオRS専用　Part5　【PLEO】 (379)
ワゴンR　CT CV オーナーの会 (176)
【節約】軽のユーザー車検４台目【約３万円】 (416)
【コンセプト】理想の軽自動車を語ろう【性能】 (156)
ムーヴのMT乗り (193)
アルトバン (192)
ワゴンＲ、ムーブ、ＮＯＮＥ何を買えば良い (181)
--log55.com------------------
The Elder Scrolls V: Skyrim VR 2
【HotS】Heroes of the Storm Part85【鰤dota】
【極寒】Frostpunk -1℃【サバイバル】
The Elder Scrolls V: SKYRIM その525
【EU4】 Europa Universalis IV Part53
Cities: Skylines 64タイル目
【工場】Factorio【RTS】Part47
Oxygen Not Included Part9