Вопросы по Snort.

Есть ли здесь кто хорошо знающий snort? Удалось запустить только с USE="dynamicplugins". Где в интеренете можно найти готовые rules'ы кроме родных и emerge'вских? Есть ли какой анализатор логов под вантуз (winxp), BASE в этом случае не подходит.

А зачем нужен Snort, позвольте узнать? Вопрос риторический.

http://www.snort.org/docs
http://www.snort.org/start/rules

P.S. вообще то snort кроссплатформенный, имеет довольно таки большое коммьюнити, когда то (давным давно) гонял его под win2003serv, анализаторы логов и т.п. имеются, было бы желание, чуть чуть времени и маааленькое такое усилие над собой, что бы побороть лень и как минимум открыть браузер и задать нужные вопросы google

Спасибо за ссылки, они и

Спасибо за ссылки, они и подобные давно прочитаны, Snort установлен и запущен, на правила подписался (бесплатная подписка). Также установлены правила emerging. Вопрос был касательно еще каких либо готовых правил, если они конечно есть, и про анализатор логов под виндовз (в интернете не нашел). А почему именно snort, вроде не плохая IDS, работает на Дженте, пока в режиме предупреждения, snortsam пока не ставил. Есть еще какието альтернативные IDS?

prelude

Snort в своей весовой категории вне конкуренции, пока что, о snortsam (Snort plugin) уже сами знаете. Правила там писать не сложно, много правил то же не есть хорошо, ибо на любой лом есть лом покрепче, давно уже "плохими" ребятами написаны генераторы мусора для ослепления сенсоров IDS. Есть еще Prelude-IDS framework.
Все таки намного удобнее парсить логи на linux машине, а уж результаты можно смотреть из любой OS. net-analyzer/snortalog смотрели? оно под windows умеет работать, с некоторыми ограничениями.

Спасибо за помощь! Snortalog

Спасибо за помощь! Snortalog поставил, нормально работает. По мимо файла alert в /var/log/snort/ есть еще файлы с дампами.Чем можно их открыть? Wireshark такой формат не понимает.

http://www.protocols.ru/files/Papers/SnortRules.pdf

tcpdump (pcap) и wireshark (ethereal) его прекрасно понимает

Спасибо! Буду разбирать

Спасибо! Буду разбирать почему Wireshark не открыл такой фаил.

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".