Duvida - Snort



  • Olá Pessoal,

    A Algum tempo venho testando o Snort no pfsense com a opção de somente de alertas pq ainda conheço muito pouco da ferramenta. Recentemente ou pra ser mais preciso hoje.. meu servidor ficou instável, a conexão caia toda hora o firewall travava.. etc..
    Verificando os logs reparei que tinha diversos pacotes de endereços estranhos com a informação " Double Attack.. " e por esse fato implementei a opção de bloqueio de pacote.

    Na sugestão de vocês, qual seria a forma ideal de liberar os pacotes bloqueados?  Para facilitar, verifico o endereço ai libero o SID do pacote bloqueado mas reparei que alguns endereços que não consigo resolver no DNSlookup possuem o mesmo SID.. e são liberados..

    Essa é a melhor forma de liberar o que foi bloqueado? se não for pedir muito queria saber se alguém tem alguma documentação em português (se possível) ou algo que puder me ajudar a identificar o que significa cada SID, preciso descobrir a melhor forma de identificar falsos positivos.

    Muito Obrigado

    DIEGO