Ali3n escreveu:
Olá Pessoal! O meu snort rodando em modo promíscuo ele captura os pacotes como icmp, http, ftp e etc... Só eu não vejo ele capturar scanners. Eu estou usando nmap -sS -O -P0 <host> e não vejo nenhum alerta. Eu preciso fazer o que pra ele capturar scans ??? Grato pela Atenção! Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/
Você precisa verificar se o pré-processador sportscan está habilidado no snort.conf. Nele vc precisa configurar os parâmetros para protocolo, entre outras coisas. Nos site do snort (www.snort.org) vc consegue baixar o manual se vc tiver compilado o programa via código fonte o manual vem junto em formato pdf. Vale a pena dar uma olhada.
Experimente colocar a opção -T5 entre os parâmetros do nmap, é um tipo de ataque mais agressivo, dificilmente ele passar despercebido pelo IDS.
Qualquer dúvida posta na lista. Abraço Pedro