How to become an author
Search
Write a publication
Pull to refresh

Comments 23

Это мне известно )
Собственно, вопрос поэтому и возникает. SourceFire продает ынтырпрайзные железки за многаденег под своим брендом. Хочется понять разницу на функциональном уровне.
This comment wasn’t rated yet0
Извините за занудство, но перед словом «как» не всегда ставится запятая, и в заголовке данного поста она не нужна.
Total votes 2: ↑2 and ↓0+2
Расскажите, пожалуйста, можно ли использовать snort для обнаружения Ddos-атак без декодирования пакетов? Насколько эффективны правила вида:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold:
type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
Total votes 1: ↑1 and ↓0+1
Снорт? Для отражения DDoS? Да вы чего??
This comment wasn’t rated yet0
для обнаружения
Total votes 1: ↑1 and ↓0+1
Технически можно — обнаружить вы скорее всего успеете. Но смысла нет, так же легко констатировать ддос можно, обнаружив падение сервиса. Смысл обнаружения и наблюдения DDOS в том, чтоб можно было оценивать эффективность принимаемых мер, то есть сама система наблюдения за DDOS должна быть уязвима в гораздо меньшей степени. В описанном случае лучшим источником по которым следует наблюдать ddos являются счётчики на активном сетевом оборудовании.

Snort это, конечно, очень гибкий инструмент, но нацелен он на обнаружение\предотвращение вторжений.
This comment wasn’t rated yet0
в системах с пакетным менеджментом… нужно по аккуратнее с make install.
в идеале, забыть про make install

правильный вариант сделать пакет и установить его
sudo auto-apt update && auto-apt -y run ./configure
checkinstall -D
sudo dpkg -i ваш_пакет.deb

Установка пакетов по запросу
www.debian.org/doc/manuals/apt-howto/ch-search.ru.html

Как правильно компилировать
vasilisc.com/tips_ubuntu#right_compile
Total votes 4: ↑4 and ↓0+4
Спасибо, интересно.
А что именно make install может поломать? Какие косяки могут быть результатом make install и как с ними бороться?
Total votes 1: ↑1 and ↓0+1
make install ставит в обход системы управления пакетов, может установить в не принятые в данном дистрибутиве пути.

установленная программа в системе никак «не зарегестрирована».
нельзя штатно обновить/удалить программу и тд и тп
в системах с пакетным менеджментом нужно всячески стремится использовать пакеты
1) лучше в репозиториях
2) хотя бы из одиночных пакетов
3) создавать пакеты из исходников и делится ими, чтобы не «опять-двадцать-пять»
Total votes 1: ↑1 and ↓0+1
Если делаете 'make install' на пакетном дистрибутиве, вызывайте как минимум:
configure --prefix=/usr/local
This comment wasn’t rated yet0
checkinstall — это тоже quick&dirty хак. Если совсем по фен-шую, то нужно собирать пакеты с помощью debuild и майнтейнить собственный PPA.
Total votes 1: ↑1 and ↓0+1
Ну а чем вам анализатор снорта snorby.org не понравился? По сравнению с тем же (BASE, ACID…) он выгодно отличается в лучшую сторону. Намного лучшую)
This comment wasn’t rated yet0
Я 2 дня пытался его запустить, но драйвер для связи с субд работать так и не начал. И ruby я не знаю.
This comment wasn’t rated yet0
Я установил все из пакета (который предложил разработчик) и все отлично заработало. Все логи складываются в MySQL базу плюс после небольшого «шаманства» в эту же базу складываются и логи с удаленных сенсоров. ruby я тоже не знаю…
This comment wasn’t rated yet0
Позвольте поинтересоваться, что вы искали по запросу «kiss my babushka» или это чисто пасхальное яйцо?
This comment wasn’t rated yet0
UFO just landed and posted this here
А как вы думаете — удобно анализировать ( правилами ) TCP трафик в или например HTTP. Как я понял препроцессоры могут переводить TCP в HTTP, или я что то путаю? На каком уровне рекомендуется анализировать. Спасибо
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr