> Folosesc snort-ul intr-un scop mai putin obisnuit, pentru content > inspection. Reteaua fiind switched si cu niste switch-uri cu management am
3*LOL pai asta e unul din motivele pt care e facut si folosit snort. > alert tcp 172.16.0.1/32 80 -> 172.16.0.0/16 any (msg: "MP3 file in ZIP"; > content: ..........; resp: rst_rcv;)), am constatat ca snort-ul nu mai > intercepteaza nimic. De asemeni, daca mai pornesc un urlsnarf nu mai apar > decat adresele din gama 172.16.0.x. Totusi, snort-ul folosit ca sniffer sau > tcpdump-ul captureaza si pachetele din gama 172.16.1.x. > Poate reuseste sa ma scoata cineva din intunericimea in care bajbai... am intalnit si eu problema asta. snort are niste mici probleme la aplicarea mastilor de biti. insa din cate inteleg eu, tu asculti numai portul de switch de la proxy. asta inseamna ca ai tot traficul de proxy spre interior,ceea ce nu mai necesita sa specifici exact de la cine catre cine. Sau mai ai si alt trafic pe acolo?! Eu unul lucrez cu any pus pe variabile si imi merge super. Pe de alta parte ce nu pricep: cand pui tcpdump iti prinde pachete doar din 172.16.1.x sau si din 172.16.x.y ? BTW: incearca sa nu dai o adresa de ip pe placa care asculta din 172.16.x.x... Pe testate. -- Stefan Laudat CCNA & CCAI ------------- The hell with the prime directive! Let's kill something! --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
