Каковы возможности, что проблема происходит каждый раз, когда гость Windows пытается перезапустить (например, после автоматического обновления)? Я всегда получал поведение замораживания на перезапуске от гостей Windows под libvirt+kvm на Бойкой Ubuntu; теперь, когда мой хост работает, Debian Сжимают, этого больше не происходит.
Вы не указали, какое действие вы должны выполнить после регистрации, поэтому сейчас я пропущу это.
Во-первых, я бы предложил настроить Snort для ведения журнала в базе данных (скорее всего, MYSQL ). Фактически, я бы посоветовал отправить двоичные журналы в Barnyard для экспорта в базу данных в зависимости от вашей нагрузки на это приложение.
В любом случае, больше вас интересует, как на самом деле регистрировать данные. К счастью, у Snort есть всевозможные способы сопоставления пакетов. Я бы предложил написать правило использования препроцессора HTTP. Вы можете использовать соответствие содержимого, чтобы найти идентификатор службы.
По причинам, которые я объясню через секунду, мы хотим использовать определенную часть информации, которая всегда появляется в одной и той же общей области в каждом пакете. Это потому, что мы можем оптимизировать правило, сообщая Snort, где также заглядывать внутрь пакета, чтобы найти совпадение. Вы можете использовать uricontent для сопоставления с URI, но мы можем пойти лучше и конкретизировать, где именно в пакете будут данные с модификатором глубины и смещения.
Модификатор глубины сам по себе устанавливает длину поиска из начало пакета, но когда вы используете мод смещения, он устанавливает начальную точку для глубины. EX. Если я скажу смещение 10, глубина 50, то Snort будет проверять только байты 10-50 полезной нагрузки. Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.
Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.
но мы можем пойти лучше и конкретизировать, где именно в пакете будут данные с модификатором глубины и смещения.Мод глубины сам по себе устанавливает длину поиска от начала пакета, но когда вы используете смещение mod он установит начальную точку для глубины. EX. Если я скажу смещение 10, глубина 50, то Snort будет проверять только байты 10-50 полезной нагрузки. Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.
Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является Набор инструментов Snort IDS , опубликованный Syngress.
но мы можем пойти лучше и конкретизировать, где именно в пакете будут данные с модификатором глубины и смещения.Мод глубины сам по себе устанавливает длину поиска от начала пакета, но когда вы используете смещение mod он установит начальную точку для глубины. EX. Если я скажу смещение 10, глубина 50, то Snort будет проверять только байты 10-50 полезной нагрузки. Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.
Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.
Модуль глубины сам по себе устанавливает длину поиска от начала пакета, но когда вы используете модуль смещения, он устанавливает начальную точку для глубины. EX. Если я скажу смещение 10, глубина 50, то Snort будет проверять только байты 10-50 полезной нагрузки. Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.
Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.
Модуль глубины сам по себе устанавливает длину поиска от начала пакета, но когда вы используете модуль смещения, он устанавливает начальную точку для глубины. EX. Если я скажу смещение 10, глубина 50, то Snort будет проверять только байты 10-50 полезной нагрузки. Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.
Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.
Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.
Сопоставление содержимого выполняется только в пределах полезной нагрузки, и вы должны использовать другие процессоры для проверки заголовка.Этого должно быть достаточно, чтобы получить нужные данные, но вы также должны помнить о безопасности Snort и экземпляра DB. если вы регистрируете конфиденциальные данные.
Хорошим ресурсом по этому поводу является набор инструментов Snort IDS , опубликованный Syngress.