English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Giải thích giùm em rule snort  XML
  [Question]   Giải thích giùm em rule snort 09/06/2011 17:40:46 (+0700) | #1 | 239857
886
Member
[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Nhờ mấy anh phân tích giùm em cái rule snort sau:
Code:
alert ip any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy";
 threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160;rev:2;)


Em chỉ hiểu sơ sơ nó là rule cảnh báo flood attack, địa chỉ nguốn any port nguồn any. Còn địa chỉ đích là any port đích là 5060, em thắc mắc chỗ này, vì thường tấn công vào port 80 mà, với khi em tấn công flooding để test rule trên thì nó cũng báo là port đích 80 chứ không phải là port 5060
Nhờ mấy anh giải thích giúp nội dung của rule trên giùm em với. Cảm ơn mọi người
[Up] [Print Copy]
  [Question]   Giải thích giùm em rule snort 12/06/2011 16:21:10 (+0700) | #2 | 240444
886
Member
[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Up cho mọi người dùng giúp đỡ
[Up] [Print Copy]
  [Question]   Giải thích giùm em rule snort 12/06/2011 16:24:31 (+0700) | #3 | 240445
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ nên tìm hiểu port 5060 là port gì trước khi diễn dịch từ 5060 thành 80.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Giải thích giùm em rule snort 12/06/2011 21:28:07 (+0700) | #4 | 240497
886
Member
[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
Rule này là rule có sẵn của snort,em chỉ bik là rule cảnh báo flooding attack.
Em không hiểu ở chỗ là sao port đích là 5060 mà khi cảnh báo nó lại báo là 80
Có liên quan gì tới NAT ở đây không?
[Up] [Print Copy]
  [Question]   Giải thích giùm em rule snort 12/06/2011 22:01:28 (+0700) | #5 | 240506
886
Member
[Minus]    0    [Plus]
Joined: 18/03/2011 06:45:49
Messages: 38
Offline
[Profile] [PM]
alert ip any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160;rev:2smilie

Cho em hỏi, chỗ count 300, seconds 60 có phải là nếu trong vòng 60 giây có hơn 300 kết nối thì đưa ra cảnh báo đúng không ạ?
[Up] [Print Copy]
  [Question]   Giải thích giùm em rule snort 13/06/2011 06:06:44 (+0700) | #6 | 240520
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

886 wrote:
Rule này là rule có sẵn của snort,em chỉ bik là rule cảnh báo flooding attack.
Em không hiểu ở chỗ là sao port đích là 5060 mà khi cảnh báo nó lại báo là 80
Có liên quan gì tới NAT ở đây không? 


Bắt snort theo dõi cổng 5060 mà nó lại cảnh báo flood cổng 80 thì bồ lộn rule này sang rule khác rồi. Không phải chỉ có flood trên cổng 80.

Còn những thứ thắc mắc khác về snort thì vô mục "Thư viện" mà tải cuốn snort về đọc cho có đầu có đũa. Hỏi như bồ thì 10 năm cũng chưa hết câu hỏi. Chỉ nên hỏi những gì không có trong sách còn những gì có trong sách thì chịu khó mà đọc và làm.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|