Вышел (http://www.snort.org/news/2009/09/16/snort-2-8-5-is-now-avai.../) релиз системы для обнаружения атак Snort 2.8.5 (http://www.snort.org/n). В новой версии:
- Проведена работа по оптимизации производительности;
- Добавлен препроцессор для разбора SSH сессий;
- Возможность определения нескольких файлов конфигураций (snort.conf), каждый из которых привязан к определенному IP или VLAN. Что позволяет обойтись одним snortd процессом вместо запуска отдельной копии для каждого IP/VLAN;
- Переработан механизм перечитывания новой конфигурации, теперь snort не прерывает инспектирование трафика в моменты перезапуска;
- Добавлено средство для защиты от флуда через введение лимитов на интенсивность попыток соединенияи число одновременных соединений.URL: http://www.snort.org/news/2009/09/16/snort-2-8-5-is-now-avai.../
Новость: http://www.opennet.me/opennews/art.shtml?num=23458
Зачем оно надо вообще?
в любое время можно посмотреть tcpdump`ом на внешнем
интерфейсе и убедиться что ломают.
лезут по виндовым портам, по портам баз данных по ssh.
Долбят 24x7x365.
И зачем нужен снорт? чтобы увидеть очевидное?
>Зачем оно надо вообще?
>в любое время можно посмотреть tcpdump`ом на внешнем
>интерфейсе и убедиться что ломают.
>лезут по виндовым портам, по портам баз данных по ssh.
>Долбят 24x7x365.
>И зачем нужен снорт? чтобы увидеть очевидное?Ну например, в случае если вы ISP и хотите помочь своим клиентам узнать об их возможных проблемах прежде чем они это почувствуют сами, и по возможности устранить проблемы клиентов, пока они не стали вашими.
tcpdump же хорош уже для разбора полетов, когда знаешь что и где искать, а при нормальном потоке трафика, его вывод превращается в экранную заставку matrix.
tcpump при серьезной атаке? Повеселили ) Кроме того - в условиях локалки, совместно с honeypotd, позволяет находить трояны.