On Mon, 10 Nov 2003 (09:37), paolino wrote: > > I presunti attacchi 'shellcode' segnalati da snort sono spesso dei > > falsi positivi in quanto i file che possono transitare in rete > > (download / upload) ingannano spesso snort. > > Come devo fare per istruire snort su questi falsi positivi?? Devo > limitare i log inutili altrimenti passo un sacco di tempo a capire se > preoccuparmi o meno.. Per quanto ne so io non è possibile limitare questi falsi positivi. Il controllo di snort viene fatto cercando certe sequenze di bit predefinite nei pacchetti che girano per la rete e queste sequenze purtroppo sono piuttosto frequenti nei file binari. Ciao, Daniele -- Free your mind GNU/Linux registered user #219615 @ GNU/Linux registered machine #103942
Attachment:
signature.asc
Description: Digital signature