Duvidas na utilização do - Snort



  • Olá Pessoal,

    Instalei o snort e estou testando ele em modo de alerta para entender um pouco como funciona..

    queria esclarecer umas duvidas.. nos alertas sempre recebo as informações abaixo..

    (http_inspect) SIMPLE REQUEST

    (ssp_ssl) Invalid Client HELLO after Server HELLO Detected ( essa aqui é indevida? )

    (http_inspect) INVALID CONTENT-LENGTH OR CHUNK SIZE

    (smtp) Attempted response buffer overflow: 545 chars

    como identificar se algo está fora do normal? como o snort avisa se algo é indevido??

    outra duvida,  se eu mudar ele para bloquear, terei muitos problemas com falso positivos? é fácil desbloquear a requisição?

    Desculpe a falta de conhecimento, mas estou querendo utilizar essa ferramenta.

    Obrigado

    abraços

    diego



  • Sim vc desbloqueia via GUI mesmo, nos logs de alerta vc clica no botão +.
    Você pode criar uma lista de endereços que nunca será bloqueados.


Log in to reply