Folosesc snort-ul intr-un scop mai putin obisnuit, pentru content inspection. Reteaua fiind switched si cu niste switch-uri cu management am configurat ca tot ce se duce de la si spre portul la care este legat proxy-ul sa se copieze la portul la care este legata statia de monitorizare. De curand am trecut de la clasa C la clasa B (172.16.0.0/24 la 172.16.0.0/16). Prima bucata (cea folosita initial) 172.16.0.x am rezervat-o pentru adrese statice iar 172.16.1.x este distribuita dinamic prin DHCP. Desi am schimbat peste tot mastile, am modificat regulile pentru snort (ex.: alert tcp 172.16.0.1/32 80 -> 172.16.0.0/16 any (msg: "MP3 file in ZIP"; content: ..........; resp: rst_rcv;)), am constatat ca snort-ul nu mai intercepteaza nimic. De asemeni, daca mai pornesc un urlsnarf nu mai apar decat adresele din gama 172.16.0.x. Totusi, snort-ul folosit ca sniffer sau tcpdump-ul captureaza si pachetele din gama 172.16.1.x. Poate reuseste sa ma scoata cineva din intunericimea in care bajbai...
Bogdan Morosan --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
