> > > Folosesc snort-ul intr-un scop mai putin obisnuit, pentru content > > inspection. Reteaua fiind switched si cu niste switch-uri > cu management am > > 3*LOL > pai asta e unul din motivele pt care e facut si folosit snort. >
Am vrut sa spun de fapt web content inspection. Stiu pentru ce e facut si folosit snort-ul. > > alert tcp 172.16.0.1/32 80 -> 172.16.0.0/16 any (msg: "MP3 > file in ZIP"; > > content: ..........; resp: rst_rcv;)), am constatat ca > snort-ul nu mai > > intercepteaza nimic. De asemeni, daca mai pornesc un > urlsnarf nu mai apar > > decat adresele din gama 172.16.0.x. Totusi, snort-ul > folosit ca sniffer sau > > tcpdump-ul captureaza si pachetele din gama 172.16.1.x. > > Poate reuseste sa ma scoata cineva din intunericimea in > care bajbai... > > am intalnit si eu problema asta. snort are niste mici probleme la > aplicarea mastilor de biti. > insa din cate inteleg eu, tu asculti numai portul de switch de la > proxy. asta inseamna ca ai tot traficul de proxy spre interior,ceea > ce nu mai necesita sa specifici exact de la cine catre cine. Sau > mai ai si alt trafic pe acolo?! Mai am si alt trafic. > Eu unul lucrez cu any pus pe variabile si imi merge super. > Pe de alta parte ce nu pricep: cand pui tcpdump iti prinde pachete > doar din 172.16.1.x sau si din 172.16.x.y ? Prinde tot, deci 172.16.x.y. > BTW: incearca sa nu dai o adresa de ip pe placa care asculta > din 172.16.x.x... > Pe testate. > Nu pot, din pacate statia respectiva o mai folosesc si pentru alte chestii. Bogdan Morosan --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
