Pregunta para configurar una regla de SNORT

Question

Pregunta para configurar una regla de SNORT

palpatine 25 may 2008 22:19

Gobernando

3.723 mensajes
desde ago 2001
en Coruscant City

Hola,

estoy intentando configurar snort para que me de una alerta cuando el la comunicación aparezca la palabra sex pero no me sale.

¿alguna idea?

4 respuestas

Cafetino 26 may 2008 14:02 SPIN ON! **6.097** mensajes desde **ago 2001** · Answer 1 · 2008-05-26T13:02:05+00:00

Creo que aqui tienes un ejemplo que debe valer

Por cierto, lo que pides huele a practica de la UOC para este miercoles [+risas]

salu2

Answer 2 · 2008-05-26T15:54:19+00:00

no, si he probado

alert tcp any any -> any 80 (content:"sex";msg:"busqueda de sex";nocase)

y no detectanada de nada...

he probado mirando todos los puertos.

alert tcp any any -> any any (content:"sex";msg:"busqueda de sex";nocase)

e igual

la verdad es que me raya el tema un poco.....

(pd: en nocase es para que de lo mismo mayusculas que minusculas)
PD: ¿uoc? ?que es la UOC? [sonrisa]

Cafetino 26 may 2008 17:56 SPIN ON! **6.097** mensajes desde **ago 2001** · Answer 3 · 2008-05-26T16:56:23+00:00

Prueba con la primera regla pero poniendo "<-" en vez de "->". Yo lo he hecho así y me funciona, una búsqueda a Google con la palabra sex lo corrobora [burla2]

salu2

Answer 4 · 2008-05-26T18:45:47+00:00

que va...

bueno, en la version 2 y pico del snort no funciona el <- Se ha de poner <> pero ni aún asi..... [buuuaaaa]

bueno, solucionado. Era en la forma que llamaba al snort.....manda webos...