Ondrej Holecek napsal(a): >>> Sice by teoreticky slo pokusit se kazdy navazovany stream nejak >>> heuristicky analyzovat, klasifikova, a nasledne s nim podle vysledku >>> zachazet, ale to bude spis stavova a pomerne slozita analyza. Ad-hoc >>> bezestaovou analyzou jednotlivych paketu niceho podobneho IMHO dosahnout >>> nelze. >> No, to je celkem jasne. Ted jde jen o to, jestli nejaky takovy >> pouzitelny a funkcni analyzator existuje. Ja si ho bohuzel sam nenapisu :-( >> To, ze bude potreba pouzit stavovy firewall je mi celkem jasne. >> > > neco takovyho umi snort. pokud pouzijete rules p2p, trochu je upravite, > aby vyvolavali alerty. potom jen nejakej skript kterej bude kontrolovat > logy s rozrazovat ip:ports do pipes. >
Ten snort nevypada na prvni pohled uplne spatne. obavam se ale, ze system analyzy logu a podle nej prepisovani ipfw ruli nejakym skriptem nebude realny u site s tokem ve spicce kolem 10 mbit. Kdyby to bylo 50 pocitacu, jeste by se to asi dalo osefovat, ale u neceho vetsiho asi uz ne. Jo, kdyby snort mohl vratit packet do IPFW s nejakym flagem, na zaklade ktereho bych rozhodl, co s nim dal, to by bylpresne to, co potrebuju. Ale tohle bohuzel asi neumi - tedy ja nic takoveho aspon v dokumentaci snortu nenasel a ani o takovem mechanismu v IPFW nevim. -- Zbyněk Burget MIA Studio, spol. s r.o. Masarykovo nám. 15a 682 01 Vyškov Tel.: 517 324 621 -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
