<![CDATA[Latest posts for the topic "xin mọi người giúp đỡ snort + acid"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net xin mọi người giúp đỡ snort + acid MINH XIN CHÂN THÀNH CẢM ƠN

]]>
/hvaonline/posts/list/31612.html#195103 /hvaonline/posts/list/31612.html#195103 GMT
xin mọi người giúp đỡ snort + acid

nature8x wrote:
TRONG TRANG ACID MÌNH BỊ LÕI NÀY KHÔNG HIỂU SAO CÓ THỂ CHỈNH SỬA ĐƯƠC khi mình vào phần search thì hiện ra như sau : -năm thì chỉ giới hạn 2004 mình không biết sửa thế nào -lỗi trong phần search: mỉnh tìm trên mạng thì nó bảo không hợp với bản PHP5 mình chưa thử với PHP4 nên không biết có đúng không. Mình đang cài trên UNBUTU rất mong mọi người giúp đỡ MINH XIN CHÂN THÀNH CẢM ƠN

 
Bồ cài theo tài liệu nào?]]>
/hvaonline/posts/list/31612.html#195194 /hvaonline/posts/list/31612.html#195194 GMT
xin mọi người giúp đỡ snort + acid http://base.secureideas.net/ xem.]]> /hvaonline/posts/list/31612.html#195195 /hvaonline/posts/list/31612.html#195195 GMT xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#195582 /hvaonline/posts/list/31612.html#195582 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Chào các anh! Mình gặp phải vấn đề sau: mình đã cài đặt Snort và Base thành công, chạy thử và cũng có alert. Nhưng base không hiển thị traffic gì hết, còn alert thì chỉ hiển thị một thông tin ngắn ngủi là Added 3 alert(s) to the Alert cache, khi refesh lại là thông tin này lập tức biến mất và cũng không thể tìm thấy lại chúng. Mình đã kiểm tra trong acid_event table thì có rất nhiều alert còn lưu lại, nhưng Base không thể hiển thị. Thanks các anh trước! 
- File cấu hình của Snort thế nào? - File cấu hình của Base ra sao? - Snort được start bằng lệnh gì? PS: Tìm lại các chủ đề Snort + Base đã có trên diễn đàn.]]>
/hvaonline/posts/list/31612.html#195588 /hvaonline/posts/list/31612.html#195588 GMT
xin mọi người giúp đỡ snort + acid /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1 ]]> /hvaonline/posts/list/31612.html#195610 /hvaonline/posts/list/31612.html#195610 GMT xin mọi người giúp đỡ snort + acid blackholesun,

blackholesun wrote:
Chào Quanta! Mình đã đọc qua một số tài liệu về Snort trên forum và các sites khác. Theo mình nghĩ như thế này: - Trong table acid_event có báo động, tức là việc kết nối giữa Snort và Mysql tốt.  
OK, vậy vấn đề còn lại chỉ là tại sao Base không chọc vào MySQL lấy dữ liệu ra và hiển thị trên đồ thị được thôi. Nguyên nhân có thể là gì nhỉ?

blackholesun wrote:
- Khi mình chạy Snort với kiểu console thì có các báo động trôi qua màn hình, và đồng thời lúc đó cũng có sự thay đổi ở Base, nhưng không theo kiểu báo động thường thấy ở Base, mà chỉ hiển thị dưới dạng Alert Cache. Hiện nay mình chưa hiểu đối với Base thì Alert Cache là gì?  
À, theo mình hiểu thì: alert cache nôm na là để cache các alert :^), dưới dạng các DB tables.

blackholesun wrote:
Dưới đây là câu lệnh mình dùng để chạy Snort: /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1  
Thử chạy dưới dạng daemon và test một rule đơn giản như ở /hvaonline/posts/list/24507.html#193151 xem. PS: File cấu hình Base đã sửa/thêm các thứ liên quan đến MySQL rồi chứ?]]>
/hvaonline/posts/list/31612.html#195641 /hvaonline/posts/list/31612.html#195641 GMT
xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#195642 /hvaonline/posts/list/31612.html#195642 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Hi Quanta! Theo mình thì Base đã "chọc" được vào Mysql để lấy các Alert ra, vì sao lại như vậy? Vì khi trên console có báo động thì Base lập tức thể hiện dòng chữ sau màu đỏ: Added x alert(s) to the Alert cache. Nhưng khi mình chủ động click sang link khác hay refresh(do Base hay do mình) thì dòng chữ đó biến mất. Và mình không tìm thấy bất kì thông tin gì về các Alert nữa.  
Biến mất là đúng rồi còn gì nữa, thế mới gọi là 'cache'. Các đồ thị của TCP, UDP, ICMP... đều là 0% hết à, tóm lại bạn cho xin cái screenshot cho nó dễ hình dung. Trước đây bạn có thử output là kiểu gì đó khác không? Xóa hết dữ liệu cũ trong /var/log/snort rồi thử lại xem. PS: Bạn đang dùng Snort với Base phiên bản bao nhiêu vậy?]]>
/hvaonline/posts/list/31612.html#195646 /hvaonline/posts/list/31612.html#195646 GMT
xin mọi người giúp đỡ snort + acid
]]>
/hvaonline/posts/list/31612.html#196076 /hvaonline/posts/list/31612.html#196076 GMT
xin mọi người giúp đỡ snort + acid snort.conf và base_conf.php lên đây mình xem thử! ]]> /hvaonline/posts/list/31612.html#196082 /hvaonline/posts/list/31612.html#196082 GMT xin mọi người giúp đỡ snort + acid

Ky0 wrote:
Bạn vui lòng đưa file cấu hình snort.confbase_conf.php lên đây mình xem thử!  
Mình cũng đã hỏi từ post thứ /hvaonline/posts/list/31612.html#195588 mà không thấy bạn ấy trả lời, kể cũng lạ.]]>
/hvaonline/posts/list/31612.html#196086 /hvaonline/posts/list/31612.html#196086 GMT
xin mọi người giúp đỡ snort + acid Code:
$alert_dbname   = 'snort';
    $alert_host     = 'localhost';
    $alert_port     = '';
    $alert_user     = 'xyz';
    $alert_password = 'xyz';

    /* Archive DB connection parameters */
    $archive_exists   = '1'; # Set this to 1 if you have an archive DB
    $archive_dbname   = 'snort_archive';
    $archive_host     = 'localhost';
    $archive_port     = '';
    $archive_user     = 'xyz';
    $archive_password = 'xyz';
Code:
output database: log, mysql, user=xyz password=xyz dbname=snort host=localhost
Các bạn cần thêm thông tin gì mình sẽ post thêm! Thanks all!]]>
/hvaonline/posts/list/31612.html#196090 /hvaonline/posts/list/31612.html#196090 GMT
xin mọi người giúp đỡ snort + acid pear install Image_Graph-alpha Image_Canvas-alpha Image_color Numbers_Roman Thì nhận được thông báo lỗi: HTTP error, got response: HTTP/1.1 410 Gone Didn't receive 200 OK from remote server. (HTTP/1.1 410 Gone) Các bạn có thể chỉ giúp mình cách khắc phục được không? Mình nghĩ các thông tin về TCP,UDP,ICMP không hiển thị có thể do các thành phần trên chưa được cài đặt Thanks!]]> /hvaonline/posts/list/31612.html#196223 /hvaonline/posts/list/31612.html#196223 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Hi all! Khi mình chạy dòng lệnh sau : pear install Image_Graph-alpha Image_Canvas-alpha Image_color Numbers_Roman Thì nhận được thông báo lỗi: HTTP error, got response: HTTP/1.1 410 Gone Didn't receive 200 OK from remote server. (HTTP/1.1 410 Gone) Các bạn có thể chỉ giúp mình cách khắc phục được không? Mình nghĩ các thông tin về TCP,UDP,ICMP không hiển thị có thể do các thành phần trên chưa được cài đặt Thanks! 
Bạn nhấp thử vào cái link Graph Alert Data, thiếu gì nó sẽ báo cáo ngay. Kiểm tra lại: - echo "SELECT COUNT( *) FROM snort.event" | mysql -u snort -p - ps -ef | grep snort xem snort được start thế nào? - Thử thêm output database: alert... rồi tạo một rule đơn giản như gợi ý ở trên và tail -f /var/log/snort/alert xem có gì không? PS: Chạy pear channel-update pear.php.net trước đã.]]>
/hvaonline/posts/list/31612.html#196225 /hvaonline/posts/list/31612.html#196225 GMT
xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Hi Quanta! Theo mình thì Base đã "chọc" được vào Mysql để lấy các Alert ra, vì sao lại như vậy? Vì khi trên console có báo động thì Base lập tức thể hiện dòng chữ sau màu đỏ: Added x alert(s) to the Alert cache. Nhưng khi mình chủ động click sang link khác hay refresh(do Base hay do mình) thì dòng chữ đó biến mất. Và mình không tìm thấy bất kì thông tin gì về các Alert nữa. Hiện nay mình đang nghĩ theo hướng: phiên bản PHP mình cài trên máy có ảnh hưởng gì đến problem này không? Cảm ơn Quanta đã quan tâm! :) 
Điều này có, nhìn hình ở dưới tôi không thấy các traffic profile xuất hiện cho nên tôi đoán rằng, trước kiên bro chắc chắn rằng gd, php-gd và các gói cài đặt liên quan đến BASE đã được cài đặt rồi hay chưa ? Sau đó kiểm tra cấu hình snort để ouput alert cũng không muộn. Good luck]]>
/hvaonline/posts/list/31612.html#196256 /hvaonline/posts/list/31612.html#196256 GMT
xin mọi người giúp đỡ snort + acid

quanta wrote:
Bạn nhấp thử vào cái link Graph Alert Data, thiếu gì nó sẽ báo cáo ngay.  
Error loading the Graphing library: Check your Pear::Image_Graph installation! * Image_Graph can be found here:at http://pear.veggerby.dk/. Without this library no graphing operations can be performed. * Make sure PEAR libraries can be found by php at all: pear config-show | grep "PEAR directory" PEAR directory php_dir /usr/share/pear This path must be part of the include path of php (cf. /etc/php.ini): php -i | grep "include_path" include_path => .:/usr/share/pear:/usr/share/php => .:/usr/share/pear:/usr/share/php Vậy là mình có trục trặc trong việc cài pear, mình sẽ tìm cách giải quyết cái này.

quanta wrote:
echo "SELECT COUNT( *) FROM snort.event" | mysql -u snort -p  
COUNT( *) 64 Khi mình dùng lệnh ps -ef | grep snort thì thấy snort được start theo đúng câu lệnh của mình

tranhuuphuoc wrote:
trước kiên bro chắc chắn rằng gd, php-gd và các gói cài đặt liên quan đến BASE đã được cài đặt rồi hay chưa ?  
Mỉnh đã cài đầy đủ các gói cần thiết: php-pdo-5.1.6-23.2.el5_3 php-odbc-5.1.6-23.2.el5_3 php-pear-1.4.9-4.el5.1 php-cli-5.1.6-23.2.el5_3 php-ldap-5.1.6-23.2.el5_3 php-5.1.6-23.2.el5_3 php-gd-5.1.6-23.2.el5_3 php-common-5.1.6-23.2.el5_3 php-mysql-5.1.6-23.2.el5_3 Thanks!]]>
/hvaonline/posts/list/31612.html#196277 /hvaonline/posts/list/31612.html#196277 GMT
xin mọi người giúp đỡ snort + acid syslog server để lấy alert từ Snort, các bạn có thể gợi ý giúp mình một soft Syslog server trên Windows được không? Miễn phí càng tốt. Thanks!]]> /hvaonline/posts/list/31612.html#196285 /hvaonline/posts/list/31612.html#196285 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Chào các bạn! Mình đang tìm một giải pháp tạm thời khác để thay thế cho BASE, trước mắt mình sẽ dùng syslog server để lấy alert từ Snort, các bạn có thể gợi ý giúp mình một soft Syslog server trên Windows được không? Miễn phí càng tốt. Thanks! 
Sao bạn không tiếp tục với Base vậy? Hiện tại đang vướng ở đâu?]]>
/hvaonline/posts/list/31612.html#196286 /hvaonline/posts/list/31612.html#196286 GMT
xin mọi người giúp đỡ snort + acid

quanta wrote:

blackholesun wrote:
Chào các bạn! Mình đang tìm một giải pháp tạm thời khác để thay thế cho BASE, trước mắt mình sẽ dùng syslog server để lấy alert từ Snort, các bạn có thể gợi ý giúp mình một soft Syslog server trên Windows được không? Miễn phí càng tốt. Thanks! 
Sao bạn không tiếp tục với Base vậy? Hiện tại đang vướng ở đâu? 
Mình chạy Snort để thử nghiệm và dùng Nmap để scan thì trên console xuất hiện alert, nhưng trong BASE không hiển thị alert và profile traffic cũng không có gì luôn, chưa biết giải quyết ntn. Mình định dùng syslog tạm thời. Thanks!]]>
/hvaonline/posts/list/31612.html#196289 /hvaonline/posts/list/31612.html#196289 GMT
xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Khi mình dùng lệnh ps -ef | grep snort thì thấy snort được start theo đúng câu lệnh của mình  
Là lệnh gì, sao không gửi cụ thể lên?

blackholesun wrote:
Mình chạy Snort để thử nghiệm và dùng Nmap để scan thì trên console xuất hiện alert, nhưng trong BASE không hiển thị alert và profile traffic cũng không có gì luôn, chưa biết giải quyết ntn.  
/hvaonline/posts/list/28965.html#193229 Mình đề nghị bạn test thử vài cái rules đơn giản sao không thấy bạn phản hồi gì nhỉ?]]>
/hvaonline/posts/list/31612.html#196351 /hvaonline/posts/list/31612.html#196351 GMT
xin mọi người giúp đỡ snort + acid Error loading the Graphing library: Check your Pear::Image_Graph installation! * Image_Graph can be found here:at http://pear.veggerby.dk/. Without this library no graphing operations can be performed. * Make sure PEAR libraries can be found by php at all: pear config-show | grep "PEAR directory" PEAR directory php_dir /usr/share/pear This path must be part of the include path of php (cf. /etc/php.ini): php -i | grep "include_path" include_path => .:/usr/share/pear:/usr/share/php => .:/usr/share/pear:/usr/share/php Mình đã kiểm tra như thông báo, thì kết quả đúng như hiển thị nhưng không biết vì sao vẫn còn báo lỗi Mình start Snort bằng lệnh sau: /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1. Sau đó dùng ps thì thấy snort đang run đúng như vậy. Mình sẽ tạo rule như bạn gợi ý và cho bạn biết kết quả sớm nhé. Thanks so much!]]> /hvaonline/posts/list/31612.html#196359 /hvaonline/posts/list/31612.html#196359 GMT xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#196364 /hvaonline/posts/list/31612.html#196364 GMT xin mọi người giúp đỡ snort + acid pear install --alldeps --ignore-errors Image_Graph-alpha  Các gói pear sau cũng tương tự Good luck]]> /hvaonline/posts/list/31612.html#196365 /hvaonline/posts/list/31612.html#196365 GMT xin mọi người giúp đỡ snort + acid

tranhuuphuoc wrote:
Thử lại lần nữa xem, lần này dùng
pear install --alldeps --ignore-errors Image_Graph-alpha 
Các gói pear sau cũng tương tự Good luck 
Hi tranhuuphuoc! Sau khi làm như bạn chỉ cho tất cả các gói thì mình không còn nhận thông báo lỗi như ban đầu lúc vào Graph Alert Data nữa, hiện ra một trang trắng trơn (chắc là do chưa có alert để vẽ). Nhưng khi chạy các lệnh trên thì mình nhận được một số thông báo lỗi (mình post lên nhờ các bạn phân tích giúp nhé), ví dụ như:
pear install --alldeps --ignore-errors Image_color Numbers_Roman Skipping package "pear/Image_color", already installed as version 1.0.3 pear/Numbers_Roman requires PEAR Installer (version >= 1.5.0), installed version is 1.4.11 downloading Numbers_Roman-1.0.2.tgz ... Starting to download Numbers_Roman-1.0.2.tgz (6,210 bytes) .....done: 6,210 bytes Validation Error: This package.xml requires PEAR version 1.5.0 to parse properly, we are version 1.4.11 Parsing of package.xml from file "/tmp/pear/cache/package.xml" failed Download of "pear/Numbers_Roman" succeeded, but it is not a valid package archive Error: cannot download "pear/Numbers_Roman" 
Lúc này các traffic vẫn chưa hiển thị, mình vẫn đang run snort. Thanks all!]]>
/hvaonline/posts/list/31612.html#196366 /hvaonline/posts/list/31612.html#196366 GMT
xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Mình đã kiểm tra như thông báo, thì kết quả đúng như hiển thị nhưng không biết vì sao vẫn còn báo lỗi Mình start Snort bằng lệnh sau: /usr/local/bin/snort -A console -c /usr/local/src/snort.conf -K ascii -i eth1. Sau đó dùng ps thì thấy snort đang run đúng như vậy.  
Bạn có hiểu -A console nghĩa là gì không? ]]>
/hvaonline/posts/list/31612.html#196371 /hvaonline/posts/list/31612.html#196371 GMT
xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#196372 /hvaonline/posts/list/31612.html#196372 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Hi quanta! Mình dùng -A console vì muốn các alert hiện ngay trên màn hình console hiện tại của mình, nếu muốn ghi vào /...alert thì mình đổi thành -A fast. Không biết cách dùng của mình có gì sai không, nhờ bạn chỉ giúp? Thanks! 
Bạn thử đề nghị ở post số /hvaonline/posts/list/0/31612.html#195641 chưa?]]>
/hvaonline/posts/list/31612.html#196375 /hvaonline/posts/list/31612.html#196375 GMT
xin mọi người giúp đỡ snort + acid /* Type of DB connection to use * 1 : use a persistant connection (pconnect) * 2 : use a normal connection (connect) */ $db_connect_method = 1; Mình chỉnh từ 2 thành 1. Cảm ơn quanta và tranhuuphuoc lắm lắm! :)]]> /hvaonline/posts/list/31612.html#196378 /hvaonline/posts/list/31612.html#196378 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Thành công! Mình đã chỉnh ở khóa sau trong base_conf.php: /* Type of DB connection to use * 1 : use a persistant connection (pconnect) * 2 : use a normal connection (connect) */ $db_connect_method = 1; Mình chỉnh từ 2 thành 1.  
Mặc định là 1 mà, bạn "nghịch" thành 2 rồi quên mất à?]]>
/hvaonline/posts/list/31612.html#196379 /hvaonline/posts/list/31612.html#196379 GMT
xin mọi người giúp đỡ snort + acid

quanta wrote:

blackholesun wrote:
Thành công! Mình đã chỉnh ở khóa sau trong base_conf.php: /* Type of DB connection to use * 1 : use a persistant connection (pconnect) * 2 : use a normal connection (connect) */ $db_connect_method = 1; Mình chỉnh từ 2 thành 1.  
Mặc định là 1 mà, bạn "nghịch" thành 2 rồi quên mất à? 
Chắc trong quá trình mình làm rồi quên :^) Nhưng hiện tại trong Base của mình chỉ lấy các dữ liệu từ ngày 30/9, giống như là đang sử dụng cache vậy, chứ không lấy theo thời gian thực, mặc dù mình tiếp tục sử dụng nmap để test thì có alert bình thường.]]>
/hvaonline/posts/list/31612.html#196381 /hvaonline/posts/list/31612.html#196381 GMT
xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Hi tranhuuphuoc! Sau khi làm như bạn chỉ cho tất cả các gói thì mình không còn nhận thông báo lỗi như ban đầu lúc vào Graph Alert Data nữa, hiện ra một trang trắng trơn (chắc là do chưa có alert để vẽ). Nhưng khi chạy các lệnh trên thì mình nhận được một số thông báo lỗi (mình post lên nhờ các bạn phân tích giúp nhé), ví dụ như:
pear install --alldeps --ignore-errors Image_color Numbers_Roman Skipping package "pear/Image_color", already installed as version 1.0.3 pear/Numbers_Roman requires PEAR Installer (version >= 1.5.0), installed version is 1.4.11 downloading Numbers_Roman-1.0.2.tgz ... Starting to download Numbers_Roman-1.0.2.tgz (6,210 bytes) .....done: 6,210 bytes Validation Error: This package.xml requires PEAR version 1.5.0 to parse properly, we are version 1.4.11 Parsing of package.xml from file "/tmp/pear/cache/package.xml" failed Download of "pear/Numbers_Roman" succeeded, but it is not a valid package archive Error: cannot download "pear/Numbers_Roman" 
Lúc này các traffic vẫn chưa hiển thị, mình vẫn đang run snort. Thanks all! 
Thử chạy
pear upgrade-all pear install Image_Graph-alpha Image_color Image_Canvas-alpha 
Sau đó gởi thông tin lên forum Nếu không được thì thử chạy
pear channel-update “pear.php.net” pear upgrade-all pear install Image_Graph-alpha Image_color Image_Canvas-alpha 
]]>
/hvaonline/posts/list/31612.html#196388 /hvaonline/posts/list/31612.html#196388 GMT
xin mọi người giúp đỡ snort + acid [root@snort ~]# pear channel-update "pear.php.net" Retrieving channel.xml from remote server Channel pear.php.net channel.xml is up to date [root@snort ~]# pear upgrade-all Will upgrade archive_tar Will upgrade pear pear/Archive_Tar requires PEAR Installer (version >= 1.5.4), installed version is 1.4.11 pear/PEAR dependency package "pear/Archive_Tar" installed version 1.3.1 is not the recommended version 1.3.3, but may be compatible, use --force to install No valid packages found upgrade-all failed [root@snort ~]# pear install Image_Graph-alpha Image_color Image_Canvas-alpha Did not download dependencies: pear/Numbers_Roman, use --alldeps or --onlyreqdeps to download automatically Skipping package "pear/Image_Graph", already installed as version 0.7.2 Skipping package "pear/Image_color", already installed as version 1.0.3 pear/Image_Canvas requires PEAR Installer (version >= 1.8.1), installed version is 1.4.11 No valid packages found install failed [root@snort ~]#   Hiện nay mình đã giải quyết được vấn đề hiển thị của Base bằng cách...cài lại Base, hiện nay các mức TCP,UDP,ICMP đều đã hiển thị. Thanks anh em rất nhiều!]]> /hvaonline/posts/list/31612.html#196390 /hvaonline/posts/list/31612.html#196390 GMT xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#196396 /hvaonline/posts/list/31612.html#196396 GMT xin mọi người giúp đỡ snort + acid

quanta wrote:
Qua vụ này, bài học rút ra là: - Học lại cách đưa thông tin làm sao cho đầy đủ (chỉ cần gửi 1 lần và người khác không cần hỏi lại gì cả) - Nếu có các câu hỏi, gợi ý được đưa ra, nhớ phản hồi cho bằng hết. 
Thanks các bạn HVA rất nhiều, đặc biệt là quanta và tranhuuphuoc, mình sẽ rút kinh nghiệm. Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS. Các bạn có thể gợi ý cho mình một số link hay tài liệu các bạn đánh giá cao để mình tham khảo nhé. Thanks!]]>
/hvaonline/posts/list/31612.html#196404 /hvaonline/posts/list/31612.html#196404 GMT
xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS.  
Không rõ cái mô hình Snort mà bạn đang triển khai thế nào? Bạn dùng Hub hay là Switch với cấu hình SPAN port?

blackholesun wrote:
Các bạn có thể gợi ý cho mình một số link hay tài liệu các bạn đánh giá cao để mình tham khảo nhé.  
/book/Syngress%20-%20Snort2.1IntrusionDetectionSecondEdition.zip http://books.google.com.vn/books?id=W2xN6XmedWIC&printsec=frontcover&dq=snort#v=onepage&q=&f=false]]>
/hvaonline/posts/list/31612.html#196406 /hvaonline/posts/list/31612.html#196406 GMT
xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#196409 /hvaonline/posts/list/31612.html#196409 GMT xin mọi người giúp đỡ snort + acid

blackholesun wrote:
Vấn đề tiếp theo mình quan tâm là dùng Snort tập trung vào traffic mail, bảo vệ mail server và vấn đề DDOS.  
Có lẽ cần phải khai triển thêm các ý: - tập trung vào traffic mail - bảo vệ mail server]]>
/hvaonline/posts/list/31612.html#196420 /hvaonline/posts/list/31612.html#196420 GMT
xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#196426 /hvaonline/posts/list/31612.html#196426 GMT xin mọi người giúp đỡ snort + acid /hvaonline/posts/list/31612.html#197282 /hvaonline/posts/list/31612.html#197282 GMT xin mọi người giúp đỡ snort + acid

windcloud208 wrote:
mình cũng bị chỗ hiển thị trên BASE chỗ TCP,ICMP thì hiển thị traffic profile bình thường,còn chỗ Portscan traffic nó chỉ hiện <1% thôi khi dùng nmap scanport,chứ ko thấy màu đỏ gì cả.kể cũng lạ.nhưng nó vẫn cảnh báo có scan port.  
BASE hiển thị <1% và bạn không thấy "màu đỏ", thì mình nghĩ ít quá làm sao nó hiển thị được.]]>
/hvaonline/posts/list/31612.html#197393 /hvaonline/posts/list/31612.html#197393 GMT