2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

今までになかったsnortについて語るスレ。

1 :ドロップキック@ちんこむき出し:2005/06/10(金) 20:24:46
市販のFWソフトやBlackICEでは物足りないという、中堅クラスの人達が集うスレを立ててみました。
IDS(Intrusion Detection System)の代表的なものに、「snort」が挙げられますが、なにしろ設
定が大変そう。
そこで、この板の住人で自信がある人が集って、知恵を出し合う場を私が提供致しますので、
みなさん積極的な参加をお待ちしております。

「以下参考」
日本snortユーザー協会
http://www.snort.gr.jp/

snortの導入
http://jem.serveftp.com/

※ ノートンやマカフィーに頼って論議している厨房の方の参加は固くお断りいたします。
※ 荒しも厳禁。

2 :七誌さん:2005/06/10(金) 20:27:26
snortってなんだ、不正アクセス検知システムのことか?

3 :名無しさん@お腹いっぱい。:2005/06/11(土) 15:51:57
検知してもブロックしてくれないので・・・

4 :名無しさん@お腹いっぱい。:2005/06/19(日) 07:23:54
だけど他のルータとLANの間に立てて検知できるソフトってあるの?

5 :名無しさん@お腹いっぱい。:2005/07/02(土) 14:08:24
Snortって検知して自動で防御はしてくれるの?それとも検知だけ?
BlaCKICEあたりだとSnortと同じで定義ファイル更新して防御までやってくれるんだけど

6 :名無しさん@お腹いっぱい。:2005/07/02(土) 14:19:15
俺は物は試しでsnort入れた事あるよ。
コマンド入力マンドクセなのでGDIツール落としてそれで設定したりして使ってたけど…
その時気づいた。「あぁ、コマンド入力マンドクセな奴は使えないソフトなんだな・・」と。
今は反省している。

誰かが完全日本語化をしてくれてチュートリアル作ってくれて日本語ヘルプ作ってくれたりログも
何もかも全部日本語化してくれたら使えそう。
初めてLinuxをインストールしようとして悪戦苦闘したような感じと似ていました。俺にはsnortなんてムリムリです。

7 :名無しさん@お腹いっぱい。:2005/07/03(日) 14:41:19
>>6

英語嫁内定脳が、コマンド入力マンドクセって言い訳してるだけかよ。




8 :名無しさん@お腹いっぱい。:2005/07/07(木) 23:19:21
うーん、単純な質問であれなんだけど、結局何故BlackIceではいけないの?
試しに入れてみろ、と言われそうだが、今より何が良くなるのか
解説サイトみてもよく分からないんだよなぁ・・・

9 :名無しさん@お腹いっぱい。:2005/07/08(金) 00:14:46
や、BlackICEでいいと思うぞ?
snortだとフリーソフトってのとWin以外のプラットフォームで
ルールセットが使い回せるってメリットはあるが。
BlackICEだと検知ルールがどの程度書けるのかよくしらんけど。


10 :名無しさん@お腹いっぱい。:2005/07/10(日) 05:38:03
おまいら、もうちょっとがんがれ。

11 :名無しさん@お腹いっぱい。:2005/07/11(月) 21:18:46
前にsnort入れてみようかと考えてたとき、snortスレ探してもなかったんだよなぁ
あれ、今は定義ファイルをダウンロードするのにユーザー登録か何かしなきゃいけないの?

12 :名無しさん@お腹いっぱい。:2005/07/12(火) 00:30:52
春くらいからだったかな。
登録しないと落とせないようになったね。


13 :名無しさん@お腹いっぱい。:2005/07/17(日) 23:42:47
登録ってか有料になったんじゃないのアレ
クレカ入力要求された・・・
誰か・・

14 :sage:2005/07/18(月) 15:20:13
無料だお。ちみ達もユーザー会MLに入っとけ。
ttp://www.snort.gr.jp/MLarchive/snort-users-jp/2005-March/001554.html

15 :名無しさん@お腹いっぱい。:2005/07/31(日) 23:11:39
●..●...●●...●●●●...●●.....●.●●.●..●.●●●....●●●...●.●.●●

ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/security.html

●●..●..●●.●●....●.●●.●.●●●●●..●.●●●...●..●●.●....●●

16 :名無しさん@お腹いっぱい。:2005/08/22(月) 00:20:23
age

17 :名無しさん@お腹いっぱい。:2005/09/08(木) 07:04:07
snort-inlineだったらファイアーオールのiptablesと連動して
防御してくれるはずだが
設定の仕方がわからんね

18 :名無しさん@お腹いっぱい。:2005/09/08(木) 09:24:37
Winで動くか知らんけど、UN*Xで動かすならreactつかってRSTでたたき落とすとかできる。

PersonalFireWallとして動かすことを考えるなら、商用のNortonやBlackICEを使う方がよろし。Snort使っても意味ないっしょ。

19 :名無しさん@そうだ選挙に行こう:2005/09/11(日) 16:52:42
ただで済ますことに意義があるのれす

20 :名無しさん@お腹いっぱい。:2005/09/25(日) 19:33:26
てすと

21 :イケヌマ:2005/09/25(日) 19:34:40
このスレは、レベル他界の

22 :名無しさん@お腹いっぱい。:2005/09/25(日) 19:58:31
linuxは構築できたけどwinのほうは馬喰いかね
iptablesでsnort-inlineに飛ばしてdrop
clamavでも drop してくれるようだ




23 :名無しさん@お腹いっぱい。:2005/10/09(日) 17:49:49
買収されたしシグネチャも登録しないと公式のものは使えないし、
オープンソースではあるけど、完全にユーザの手を離れてしまったな。

他のIDS, IPSと比べても技術的優位性も特にない。

24 :名無しさん@お腹いっぱい。:2005/10/11(火) 02:22:27
保守

25 :名無しさん@お腹いっぱい。:2005/10/19(水) 01:22:31
鳴り物入りで始めて本まで出したSnort-jpの方々は
この現状をどうするのか知りたいなと

26 :名無しさん@お腹いっぱい。:2005/10/19(水) 19:34:51
ttp://slashdot.jp/security/05/10/19/0357246.shtml

Snort に危険な脆弱性

yooseeによる 2005年10月19日 13時00分の掲載
盾が刃に変わるとき部門より.
バグ
セキュリティ

yosshy曰く、"ITmedia の記事より。
オープンソースのネットワーク侵入検知システム「Snort」の
バージョン 2.4.0〜2.4.2 に含まれる Back Orifice プリプロセッサに、
バッファオーバフローの脆弱性が発見された(JPCERT/CC の注意喚起)。
この脆弱性は UDP パケット1つで簡単に悪用できる上、
Back Orifice のデフォルトポート 31337/UDP に限定されないため、
ワームの拡散に繋がる恐れがあると指摘されている。
対策としては Back Orifice プリプロセッサを無効化するか、
バージョン 2.4.3 にアップグレードする事。利用サイトでは早急な対処が必要だ。


ITmedia
ttp://www.itmedia.co.jp/news/articles/0510/19/news014.html

27 :名無しさん@お腹いっぱい。:2005/10/21(金) 20:25:58
クローズドソースになる訳でなく、料金取るわけでもなく、
登録すれば今までどおり普通に使えてるし。
現状、特に気にしなくて良いんじゃね?
だから平静なんだよ。なので、23も25も、餅付け。
てか、がんがれ

28 :名無しさん@お腹いっぱい。:2005/11/06(日) 18:25:10
>>26
# ls -l
drwxr-xr-x 10 root wheel 1024 Nov 6 06:38 snort-2.4.3
-rw-r--r-- 1 root wheel 2733590 Nov 6 06:35 snort-2.4.3.tar.gz
-rw-r--r-- 1 root wheel 789097 Nov 6 06:54 snortrules-pr-2.4.tar.gz
そして
[**] [1:1384:8] MISC UPnP malformed advertisement [**]
[Classification: Misc Attack] [Priority: 2]
11/06-18:21:44.000069 192.168.0.1:1900 -> 239.255.255.250:1900
UDP TTL:4 TOS:0x0 ID:20116 IpLen:20 DgmLen:296 DF
Len: 268
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0877][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0876][Xref => http://www.securityfocus.com/bid/3723]


>>26

>>26


29 :名無しさん@お腹いっぱい。:2005/11/06(日) 18:31:02
>>28
snortが動いてる姿は
# ps -ax | grep snort
23009 ?? Is 0:27.94 /usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/sno
2319 p0 D+ 0:00.01 grep snort
http://www.ne.jp/asahi/diver/hrk/openbsd/s-snort.html が詳しい。

30 :名無しさん@お腹いっぱい。:2005/11/09(水) 11:45:18
snort入れる場合、ハードウェアの推奨スペックってどんなもんかね
CPUよりもメモリ重視の方がいいかね
できるだけ取りこぼしたくないんだが
20Mビット/secものトラフィックで取りこぼすのはある程度仕方ないとは思うんだが


31 :名無しさん@お腹いっぱい。:2005/11/10(木) 05:30:16
oinkmasterで ルールのアップデートは
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4nantarakantara6/snortrules-snapshot-2.4.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
な感じ。

20Mビット/secは どうやっったらわかるの?

俺のは
# dmesg | grep mem
real mem = 133799936 (130664K)
avail mem = 115466240 (112760K)
using 1658 buffers containing 6791168 bytes (6632K) of memory
# dmesg | grep cpu
cpu0: Intel Pentium/MMX ("GenuineIntel" 586-class) 200 MHz
cpu0: FPU,V86,DE,PSE,TSC,MSR,MCE,CX8,MMX
cpu0: F00F bug workaround installed
cpu0 at mainbus0
と低いスペック。

[**] [1:1715:6] WEB-CGI register.cgi access [**]
[Classification: access to a potentially vulnerable web application] [Priority: 2]
11/10-04:32:54.964684 192.          :64753 -> 199.         :80
TCP TTL:63 TOS:0x0 ID:25325 IpLen:20 DgmLen:511 DF
***AP*** Seq: 0x82154508 Ack: 0x30C580B5 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 371408 3315054125
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0076][Xref => http://www.securityfocus.com/bid/2157]

32 :名無しさん@お腹いっぱい。:2005/11/10(木) 06:03:12
>>31
https://www.snort.org/pub-bin/register.cgi で登録しないといけないよ。

cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4-nantara-kantara-6/snortrules-snapshot-CURRENT_s.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
に代えた。 
なお4-nantara-kantara-6は https://www.snort.org/pub-bin/register.cgiのpassword だよ。

33 :名無しさん@お腹いっぱい。:2005/11/10(木) 06:50:45
Bleeding snort rulesはどうよ?

34 :名無しさん@お腹いっぱい。:2005/11/10(木) 09:22:57
cd /tmp
wget http://www.snort.org/pub-bin/oinkmaster.cgi/4ふぉげ6/snortrules-snapshot-CURRENT_s.tar.gz
wget http://www.bleedingsnort.com/bleeding.rules.tar.gz
tar xvzf snortrules-snapshot-2.4.tar.gz
tar xvzf bleeding.rules.tar.gz
cp /tmp/rules/* /usr/local/snort/rules/
してから

/usr/local/snort/etc/snort.conf に <
include $RULE_PATH/bleeding-attack_response.rules
include $RULE_PATH/bleeding-dos.rules
include $RULE_PATH/bleeding-exploit.rules
include $RULE_PATH/bleeding-game.rules
include $RULE_PATH/bleeding-inappropriate.rules
include $RULE_PATH/bleeding-malware.rules
include $RULE_PATH/bleeding-p2p.rules
include $RULE_PATH/bleeding-policy.rules
include $RULE_PATH/bleeding-scan.rules
include $RULE_PATH/bleeding-virus.rules
include $RULE_PATH/bleeding-web.rules
をくわえて、snort再起動ではどうかな

35 :名無しさん@お腹いっぱい。:2005/11/14(月) 14:58:41
いかん、bleeding.rulesをくわえるとすぐにsnortのプロセスがなくなるねー

36 :名無しさん@お腹いっぱい。:2005/11/14(月) 16:53:22
それで 次のスクリプトはどうだろか
修正希望

down=`ps -ax | grep snort | grep ascii`
if [ -z "$down" ]; then
/usr/local/snort/bin/snort -D -i fxp0 -c /usr/local/snort/etc/snort.conf -K ascii -t /var/log/snort -u snort -g snort
fi


37 :名無しさん@お腹いっぱい。:2005/11/16(水) 19:35:52

Win版のAirSnort使ってる方おります?

DWL-650使えと言うんだけど、互換チップで最近の
802.11a/b/g対応のPCカードってどんなのありますか?

家のはorinocoのドライバモードで一応動いてはいるんですけど

詳しい方おながいします
   

38 :名無しさん@お腹いっぱい。:2005/11/18(金) 00:08:04
まず、AirSnortとSnortは別物だと理解しているか?

39 :名無しさん@お腹いっぱい。:2005/11/19(土) 11:42:24
っていうか
12/31/04 - Cisco users on Windows should choose the DWL-650 card type

という文面から >>87 と訳してるようじゃ、使いこなせっこない。


40 :名無しさん@お腹いっぱい。:2005/11/20(日) 18:34:33
OSにFedoraCore3を使用しているんですが、libpcapとpcreがデフォルトではいってるんだけどこのまま使っていいのかなぁ。
ちょっとバージョン古いけど・・消そうとするとほかのツールに必要だからとかでて消せないし・・・
あと、snortを公式からDLしてインストールしようとしたんだけどmake時に何箇所か〜が見つかりませんってでるけどこれやばいんですかね?
OSはインストールしたばかりの状態なんですが。
このまま無視してインストールして設定を終えた後、起動コマンドをいれてもなにもおきないんですよね・・・
http://jem.serveftp.com/security/index.html
このサイトの導入方法を参考に進めていったのですがうまくいきません。なんだか途中で微妙に間違ってるとこも修正してみたんですがどうにもなりません。
情報がすくないですがどなたか助言いただけないでしょうか?

41 :名無しさん@お腹いっぱい。:2005/11/20(日) 18:44:10
エスパーさん出番です。

42 :名無しさん@お腹いっぱい。:2005/11/26(土) 16:25:03
TCP SYN flood攻撃のようなDoSの簡単な対処として同一の偽造IPから短期間に大量のパケットがきたら検知できるようにしたいんですけどどんなルールにすればいいでしょうか?
それとログの出力をIPアドレスだけにってできないんですかね〜?現在調べながら設定中ですがなかなか難しいですね^^;


43 :名無しさん@お腹いっぱい。:2006/01/05(木) 14:41:25
保守

44 :名無しさん@お腹いっぱい。:2006/01/13(金) 11:45:48
Snort初心者なので教えてください。
PC版をインストールしてみたのだけど、ためしに起動するときに、-iの
パラメータはどのように設定するのか教えていただけますか?。
UNIX版ではeth1とか指定してNICの指定を行うようなのですが?。

45 :名無しさん@お腹いっぱい。:2006/01/13(金) 22:03:16
snort -Wでインターフェイス番号と
実NICの対応がわかるんではないかな?



46 :名無しさん@お腹いっぱい。:2006/01/14(土) 00:17:12
正直マニュアルも読まないような奴がSnortを使いこなせるとは思えない。
あと、こんなのもあるな。
http://www.stillsecure.org/

47 :名無しさん@お腹いっぱい。:2006/01/27(金) 05:33:52
すみません、ちょっと教えていただきたく。
現在VineLinux3.2環境でMySQLを有効にしたsnortを使っているのですが
snort.confにて

output database: log, mysql, user=xx password=xx dbname=snort host=localhost

と設定してあるにもかかわらず/var/log/snort以下へ書き込みに行ってしまっている
状況です。
MySQL側ではsnort用のユーザとDBを用意し、権限もGRANT以外は有効にしてある
んですが…
何か間違っているところや設定不足なところがあるようでしたらお願いします。
ちなみにsnortの構築は rpmbuild --with-mysql -ta で2.4.3のtarballから行いました。

48 :名無しさん@お腹いっぱい。:2006/01/28(土) 11:06:10
>47
1.mysqlが実は動いていない
2.mysqlにテーブルつくってない
3./var/log/snort/alertもかかれているだけで mysql -u xx -p snort して
select * from event; したら書かれてる

mysql -u xx -p snortで
show tables;
でちゃんとテーブルつくられてんの?

openaanvalがいつのまにか aanvalオンリーになっててちょっとショック


49 :47:2006/01/29(日) 02:48:36
>>48
レスありがとうございます。
1.ps xaで確認したところ動いています。同じPCでwebも動かしてますが、そちらのPHPからは
 ちゃんとMySQLにアクセスできています。
2.dumpしましたがちゃんと作られていました。
3.コマンドライン/phpMyAdmin両方から確認しましたが、出力されませんでした。

show tables; の結果ですが、16のテーブル(data/detail/event/iphdrなど)は作られています。

ちなみにuser/passwordはデフォルトとは変更してありますが、mysql -u xx -p snort でDBに
アクセスできることは確認しています。

50 :名無しさん@お腹いっぱい。:2006/01/30(月) 00:41:34
show tables;の結果は?

51 :名無しさん@お腹いっぱい。:2006/01/30(月) 00:42:08
↑誤爆

52 :47:2006/02/10(金) 19:01:01
あれからsnortをコンパイルし直したり、コンフィグを1から書き直しして
みたりしたけど、結局解決せず…
結局ログを自力で解析するスクリプト作って解決させますた…

53 :名無しさん@お腹いっぱい。:2006/03/14(火) 02:13:07
Snortから派生したのはかなり前だと記憶してるけど、一時期停滞してたHogwashが復活したようなので。
http://hlbr.sourceforge.net/index-jp.html

In-lineで動かしたSnortとはまた別のことができるのね。

54 :名無しさん@お腹いっぱい。:2006/03/21(火) 04:00:19
日本Snortユーザ会、やる気ないならやめればいいのになぁ。
存在価値ないだろ。

55 :名無しさん@お腹いっぱい。:2006/03/22(水) 23:13:56
FreeBSDでとりあえずsnortをインストール、さらに適当にルールを拾ってきて動かしてみました。
分からないながらもルールはまじめに更新したほうがいいかと思い、oinkcodeとやらを使おうと考えているのですが、
いくつか自分で書き換えて(ruletypeをalertからpassにした程度です)しまっているルールがあり、
これがルールの更新で上書きされてしまうのでは…と思い躊躇しています。
modifysidとかenablesidとかを使えばoinkcodeを使っても独自のルールも生き残れるような気がするのですが、
このへんのことが解説されている情報が見つけられなくて困っています。
ご存知名方がいらっしゃったらご教示いただければ幸いです。
(的外れなことを書いているようでしたら容赦なくご指摘ください)

56 :名無しさん@お腹いっぱい。:2006/03/23(木) 00:59:06
>>55
シグネチャ更新ツールは、oinkcodeじゃなくてoinkmasterじゃない?

で、やりたいことはmodifysidとか設定すればできるみたいだね。
oinkmster.confにサンプル載ってるんだから、バックアップ取って試してみればいいのに。

何度かSnortの雑誌記事書いたことあるけど、最近は追っかけてないからちゃんと自分で確かめてね。

57 :名無しさん@お腹いっぱい。:2006/03/23(木) 06:24:47
>>56
確かにご指摘の通りoinkmaster.confのサンプルにしっかり書かれていました。(また、oinkcodeではなくoinkmasterでした)
ありがとうございました。

modifysidでsidの書き換え、enablesid, disablesidでsidを丸ごと有効、無効にできるんですね。
アーカイブを落としてきて展開するだけで出てくるoinkmaster.confのサンプルも読まず質問してしまい申し訳ございませんでした。
最近どうもwebで調べて見つけられないとあきらめてしまうクセがついていて、よくない傾向だと反省しています。

58 :名無しさん@お腹いっぱい。:2006/03/25(土) 09:55:37
snortを久しぶりに使おうといじっているんですが、
以前はダンプされるファイル名が昔はIPアドレスごとだったのに、
すべてひとつのファイルに保存されてしまって少し不便に感じています。
設定で以前のようにアドレスごとに保存するようにはできないんでしょうか?

59 :名無しさん@お腹いっぱい。:2006/03/26(日) 15:37:45
>>58
話題のない日本Snortユーザ会のMLに投げろ。

60 :名無しさん@お腹いっぱい。:2006/03/29(水) 20:06:53
FreeBSD6-STABLE+PFの環境で、ゲートウェイマシンにSnort入れて使ってます。
WAN側からくるパケットはかなり厳しくPFでフィルタリングしていて、LAN側からのは
あまりフィルタリングしていません。
先ほど、LANからnmapでゲートウェイにポートスキャンしたらちゃんと検知したのですが、
WANから、セキュリティサイト(Shields upなど)からスキャンしても全く検知してくれません。
(iplogは検知してます)
これは、SnortはPFがフィルタリングしたあとのパケットを見ているということでしょうか?
もしそうならどうすればiplogのような挙動にできるでしょうか?
よろしくお願いします。

61 :名無しさん@お腹いっぱい。:2006/04/07(金) 01:37:00
>>60
話題のない日本Snortユーザ会のMLに投げろ。

62 :名無しさん@お腹いっぱい。:2006/04/07(金) 12:52:14
>>60
以前、検証したら pf や ipfw などの処理をした後で
libpcap が動いているみたいだから無理だと思います。

投げるのであれば Snort ユーザ会よりも FreeBSD Users の方が適切かも。

63 :名無しさん@お腹いっぱい。:2006/06/02(金) 18:44:46
ところでみんな、snortで狙っている不正アクセスがもし見つかった場合、
どうやって検知してる?
たとえばLIMEWIRE使ったユーザが居たら、即管理者にメールを投げる、という運用を
とるときはどうやっているか、という話。
夜中にLIMEWIRE使ったユーザが3時間も4時間も居た場合、その時間同じ報告メールが大量に来るわな。
それを避けたい場合どうするかなんだが。
syslog-ngを使ってsnortのログを常に監視するのは可能だけど、ああいうツールって
「指定した文字列を受信したらこうする」という設定をしていた場合、
その通信が続く限り同じ処理を繰り返すでしょ?

64 :名無しさん@お腹いっぱい。:2006/06/03(土) 19:51:15
>>63
少しはマニュアル読め
ヒントだけ書いておいてやる

threshold

65 :名無しさん@お腹いっぱい。:2006/06/04(日) 20:27:37
>>64
snortのマニュアルってことかね?

66 :65:2006/06/04(日) 20:33:01
>>65の投稿取り消し。

>>64
すまんかった。解決しそう。ありがとうございます。

67 :名無しさん@お腹いっぱい。:2006/06/13(火) 12:34:41
WANルータ
 |
 |
  +-----IDS(Snort)
 |
 |
FW
 |
 |
内部



WAN側をIDSで監視していると、P2Pアラートが出た。
IDSのログから、その通信のDestinationのIPは66.36.241.XXXだった。
しかし、どういうわけかFWのログを66.36.241.XXXで引っ掛けても何も出てこなかった。
内部からの通信は例外なくFWを通過する。
二重化したFWログサーバ両方を調べたが、無かった。
こうしたことがちょくちょくある。

考えられる要因は何だろう。

68 :ORESAMA:2006/06/14(水) 10:12:46
>>67
ありえんだろそれ

69 :名無しさん@お腹いっぱい。:2006/06/21(水) 15:10:33
sSnortを稼動させつつ、IPLOGを稼動させるっていうのはかなり無謀でしょうかね。
CPU処理的にはMAX70%ほどで、平均で40%ほど。


70 :名無しさん@お腹いっぱい。:2006/07/11(火) 21:58:00
あっー!!

71 :_:2006/07/19(水) 10:59:19
【これは除外してもよさそうだが、どうか?】
BLEEDING-EDGE WEB Google Desktop User-Agent Detected
BLEEDING-EDGE POLICY ICQ Message
BLEEDING-EDGE POLICY MSN status change
BLEEDING-EDGE POLICY ICQ Status Change (1)
BLEEDING-EDGE POLICY Gmail Message Send
BLEEDING-EDGE POLICY Google IM traffic Jabber client sign-on
BLEEDING-EDGE POLICY Skype User-Agent detected

【これは?】
spp_rpc_decode: Incomplete RPC segment
BLEEDING-EDGE POLICY iTunes User Agent
BLEEDING-EDGE MALWARE Weatherbug Wxbug Capture
BLEEDING-EDGE MALWARE DelFin Project User Agent
BLEEDING-EDGE Potential MySQL bot scanning for SQL server
BLEEDING-EDGE Malware MyWebSearch Toolbar Traffic (host)
BLEEDING-EDGE MALWARE MyWebSearch Spyware User Agent
BLEEDING-EDGE MALWARE Target Saver Spyware User Agent



M

72 :名無しさん@お腹いっぱい。:2006/10/19(木) 17:37:48
FC5にSnort入れたんだが、起動直後から260MBもメモリ食ってる・・・
物理メモリは2GBでこれって普通?

73 :名無しさん@お腹いっぱい。:2006/11/13(月) 00:14:12
snort使ってる人は、ソースからインスコしてんのかな?
パッケージからDLしてもいいけど、2.3系の所が多いし
ソースからインスコしても、makeすると「ALLに対して行うべきでありません」とか
エラー吐くし・・・。2.3系で使ってても問題ないのかな?
ちなみに、鳥はdebian-sargeでつ。

74 :名無しさん@お腹いっぱい。:2006/11/23(木) 12:49:15
pspでsnortできる?wep解析したいから
教えて、すげー人


75 :名無しさん@お腹いっぱい。:2006/11/23(木) 15:13:34
>>74
どこからつっこんでほしい?

76 :名無しさん@お腹いっぱい。:2006/11/23(木) 15:17:50
別にいいから教えて

77 :名無しさん@お腹いっぱい。:2006/11/23(木) 17:10:11
\               U         /
  \             U        /
             / ̄ ̄ ヽ,
            /        ',      /     _/\/\/\/|_
    \    ノ//, {0}  /¨`ヽ {0} ,ミヽ    /     \          /
     \ / く l   ヽ._.ノ   ', ゝ \       <  バーーカ!  >
     / /⌒ リ   `ー'′   ' ⌒\ \    /          \
     (   ̄ ̄⌒          ⌒ ̄ _)    ̄|/\/\/\/ ̄
      ` ̄ ̄`ヽ           /´ ̄
           |            |
  −−− ‐   ノ           |
          /            ノ        −−−−
         /           ∠_
  −−   |    f\      ノ     ̄`丶.
        |    |  ヽ__ノー─-- 、_   )    − _
.        |  |            /  /
         | |          ,'  /
    /  /  ノ           |   ,'    \
      /   /             |  /      \
   /_ノ /              ,ノ 〈           \
    (  〈              ヽ.__ \        \
     ヽ._>              \__)

26 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)