[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Snort Scan



Ali3n escreveu:

Olá Pessoal!

O meu snort rodando em modo promíscuo ele captura os
pacotes como icmp, http, ftp e etc...

Só eu não vejo ele capturar scanners.
Eu estou usando nmap -sS -O -P0 <host>

e não vejo nenhum alerta. Eu preciso fazer o que pra
ele capturar scans ???

Grato pela Atenção!




      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/



Você precisa verificar se o pré-processador sportscan está habilidado no snort.conf. Nele vc precisa configurar os parâmetros para protocolo, entre outras coisas. Nos site do snort (www.snort.org) vc consegue baixar o manual se vc tiver compilado o programa via código fonte o manual vem junto em formato pdf. Vale a pena dar uma olhada.

Experimente colocar a opção -T5 entre os parâmetros do nmap, é um tipo de ataque mais agressivo, dificilmente ele passar despercebido pelo IDS.

Qualquer dúvida posta na lista.

Abraço

Pedro



Reply to: