| |
|
|
coolie wrote:
Còn những thành phần khác: icmp_id, itype, content, reference,.....em không làm sao hiểu được nó ở đâu ra và có ý nghĩa như thế nào. Khi viết rule liệu có nhất thiết phải có đủ những thành phần này không.
Nhất là phần content, theo em cái phần content là content của packet mà snort capture được, nhưng làm sao để biết được content của một packet để viết rule bây giờ.
Về phần sid, làm sao để có thể tạo signature của kiểu tấn công trên nhỉ.
Hic, rắc rối quá. Làm sao để có thể tạo được một rule đơn giản bây giờ?
Ai giúp em những thắc mắc này với.
Ví dụ như em muốn alert khi có một người dùng trong mạng của mình download quá 100MB từ 1h-2h liệu có được không nhỉ 
- Tất nhiên là không nhất thiết phải có tất cả các thành phần đó trong rule roài. Đó có thể coi là Option thôi  . Ví dụ content thường là sử dụng để phát hiện nội dung kiểu như virus, shell,... có trong các gọi tin nên thường dùng trong các luật phát hiện các cuộc tấn công 
- Mình thử lấy ví dụ một luật chặn việc gói tin ping lớn hơn 100MB nhé :
Alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “NAY THI PING NAY”; dsize : > 100MB ; reference: hvaonline.net)
Nếu là download như bạn muốn thì thường sẽ là TCP, cổng 80!
- Có Plugin cho phép cấu hình rule bằng GUI. Nhưng mà theo mình dùng tay cho PRO 
Lâu roài không đụng đến cái này, bạn nói đến nhớ lại thì tham gia nói leo, có gì không đúng thì các bác đừng cười nhá 
|
 |
|
|
Mình mới đọc qua quyển sách này.
Thấy là tập trung vào sử dụng Tool nhiều quá. Cái đó đúng thôi vì chẳng ai đi dùng tay làm gì những mà có vấn đề là phải hiểu basic trước thì dùng tool chắc sẽ sướng hơn.
Đoạn đầu mình thấy có phần Unpack cơ bản nhưng có cảm giác là hơi ngắn thì phải... newbie như mình có lẽ khó hiểu đấy 
Theo mình ai đọc quyển này thì nên tìm hiểu cơ bản về Unpack trước, thế nào là OEP, sao phải sửa IAT, ...
Vài góp ý, có gì sai xót xin tác giả lượng thứ
|
|
|
|
Hay, dù sao cũng là ý tưởng hay.
Nhưng mà mình chưa rõ mục đích thực sự của ý tưởng này. Nếu nói là mang lại kiến thức cho cộng đồng thì nó thế nào ấy ....
Còn về câu hỏi hay câu trả lời thì mình có góp ý là : Trước đây đã từng tham khảo một số trang về câu hỏi trắc nghiệm thì thấy một ý rất hay của họ là họ đưa ra những hỏi và họ không bao giờ trả lời. Trả lời là dành cho người đọc, vấn đề là có thông kê % trả lời của từng đáp án. Khi đó, ai chưa biết câu trả lời hoặc lưỡng lự có thể xem thống kê. Hè hè
Tất nhiên chưa chắc % trả lời nhiều đã là đúng. Nên mình nghĩ là vẫn nên kết hợp với việc có một câu trả lời đúng. Có điều hổng biết kết hợp thế nào 
Chúc bạn thành công với ý tưởng này 
|
|
|
|
Hay quá. Phần mềm này có được sử dụng nhiều không nhỉ, đang test thử lỗi đầu.
Mà bmrobot cho một vài site để thử đi
|
|
|
|
Thanks, Good Job
Nhưng mừ sao không viết kiểu ebook rồi up lên. Kiểu này khó đọc khó theo dõi ghê.
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
