Здравствуйте.Подскажите, есть ли какие решения на Linux, для мониторинга сети в плане обнаружения сетевых червей, к примеру того же всем известного конфикера.
Да, обычно, траффик смотрим через tcpdump, да и на Nmap есть скрипты для обнаружения потенциально зараженных ПК.
Но хотелось бы всетаки сервиса, который мог реагировать на подозрительный траффик, или на известные сигнатуры червей.
Заранее благодаре.
snort ?
>snort ?Но Snort как понимаю это именно система обнаружения вторжений из вне, и довольно таки сложная в администрировании. Возможно я заблуждаюсь, сам ее не трогал, только читал.
Просто в локальной сети может есть какие варианты по проще?
OSSIM
>>snort ?
>
>Но Snort как понимаю это именно система обнаружения вторжений из вне, и
>довольно таки сложная в администрировании. Возможно я заблуждаюсь, сам ее не
>трогал, только читал.
>
>Просто в локальной сети может есть какие варианты по проще?
>>snort ?
>
>Но Snort как понимаю это именно система обнаружения вторжений из вне, и
>довольно таки сложная в администрировании. Возможно я заблуждаюсь, сам ее не
>трогал, только читал.Заблуждаетесь.
Википедия: "Snort is a free and open source network intrusion prevention system (NIPS) and network intrusion detection system (NIDS)"Главная страница www.snort.org: "Snort® is an open source network intrusion prevention and detection system (IDS/IPS)"
Априори, системы подобного уровня, учитывая задачи, которые перед ними ставятся не могут быть простыми. Впрочем сложность, на мой взгляд, несколько преувеличена. В любом случае, инструмент с которым работаешь нужно знать, что подразумевает чтение документации, которая для снорта есть в достаточном количестве и что самое главное выского качества. Взамен получаете мощный инструмент IDS/IPS (по желанию). Если решите остановить выбор на снорте, обратите внимание на их списки рассылок, сигнатуры там появляются _очень_ оперативно (разумеется, их следует использовать с осторожностью т.к. это по сути альфы-беты, возможно, не самого высокого качества).