Про Snort и его правила



  • Всем привет!

    Такой у меня вопрос имеется - почему после установки стандартных правил Snort (которые standard с задержкой до месяца) не все правила в каждой категории активированы? Притом даже в категориях типа backdoor, exploit и проч. Активировано от 10 до 30% правил в среднем, не больше. Почему остальные выключены? Ну хорошо, допустим, я понимаю, что правила по защите всяких очень специфических сетевых сервисов имеет смысл по умолчанию держать выключенными, но почему в разделе, где keyloggerы и всякая прочая вредная малварь - активированы только 10 правил из 100? Остальные не работают? А зачем тогда они в списке?

    И второй вопрос - может, лучше отказаться от snort-sourcefire правил и использовать emerging threats набор? Какой набор правил лучше/полнее/быстрее?


Locked