From: Serdar KOYLU (skoylu@altavista.com)
Date: Tue 06 Feb 2001 - 00:42:16 EET
Selamlar..
On Mon, 05 February 2001, "Ugur Coskun" wrote:
>
> selamlar
>
> snort hakkinda dokuman okuyordum fakat anlayamadigim birkac nokta var.
> Simdiden gorusleriniz ve yardimlariniz icin tesekkur ederim
>
> soru1: "Kötü Kullan?m Tan?mlama Pattern-matching vb. yontemlerle
> gerceklestirilir" deniliyor. Bu cumlenin anlami nedir?
Pattern matching ile benim aklima gelen iki sey var. Oncelikle deger yerine pattern yazabilirsiniz, mesela ls komutunda AB ile baslayan dosyalar icin ls AB* yazarsiniz, burada AB* pattern olur. Bu turden bir pattern vererek kotu kullanimlari tespit edebilirsiniz deniyor olabilir. Ikincisi ise sekans numaralarini kullanarak yapilan bir tur SYN_FLOOD saldirisi vardir. Bunu tespit etmek icin hash tablosuyla pattern matching kullanilabilir, pek verimli olmaz, tavsiyede edilmez genelde. Bu tur saldirilar icin ID veya RFC'lerden filan birinde, onleme ve saldiri metotlari anlatilir. Bakalim. Open URL ... http://www.rfcindex.org .. verbose.. Evet.. RFC1948' mis. Bir gozatmanizi tavsiye ederim. Bende bunu tekrar okuyayim su sozlugu bulup, unutuyor insan boyle seyleri, ama nerde bulacagini bilmek cok faydali oluyor...
> soru2: Saldiri tespitinde genel güçlükler ba?l???yla "Bile?en temelli
> sald?r? tespiti geli?memi? durumda
> IETF - IDWG
> GIDOS (http://www.gidos.org)" denerek ne denmek istenmis.
> soru3: "Yön bilgisinin verilebilmesi" ne demektir.
> soru4:
> alert TCP any any <> any 6699 (msg:"Napster Client Data"; Content: ".mp3";
> nocase; )
TCP protokolunden herhangi bir adresten, herhangi bir porttan gelen veya giden paketlerde herhangi bir makinenin 6699 portuna giden bir paket gorursen uyari ver, (millet isi birakmis MP3 indiriyor !)
> alert TCP !$HOME_NET any -> $HOME_NET 53 (msg:"OVERFLOW-Named-ADM-NXT -
> 8.2->8.2.1"; content: "ADMROCKS"; )
Oncelikle bir HOME_NET tanimlamis olmaniz lazim. 192.168.1.0/24 gibi mesela. O zaman, !$HOME_NET = HOME_NET'den gelmeyen anlamina gelir. Any'lerde herhangi biri anlamindadir. Bu durumda yukardaki satiri
UyariYap TCP HOME_NET'tenGelmeyen HerhangiBirPortOlabilir giden HOME_NET'e 53'ncuPorta (Mesaj ver .....)
olur. Tercume edersek, "TCP Protokoluyla HOME_NET olarak tanimlanan makinelerden gelmeyen (Dis ag, yani internet), geldigi port ne olursa olsun, HOME_NET'teki makinelerden birine giden, ulasacagi port 53 olan bir paket gorursen uyari yap"
> alert TCP !$HOME_NET any -> $HOME_NET any (msg:"IDS5 - SCAN-Possible NMAP
> Fingerprint attempt"; flags: SFPU; )"
Bu ise, TCP ile Disaridan herhangi bir porttan gelen ve icerdeki (HOME_NET'teki) herhangi bir makinenin herhangi bir portuna giden paket bulursan haber ver diye tercume edilebilir.
>
> mesaj veya paket inceleme tanimlari eylem/protokol/kaynak/hedef/yön
> formatinda fakat burdaki herhangi bir satiri bana aciklamali olarak
> yazabilirmisiniz. ornegin bir suru any kullanilmis. bir kismini cozdum fakat
> olayi kavrayamadim sanirim on bilgim eksik.
>
> soru5: "Libpcap ve libnet paketlerinin varl???n? denetleyin" denmis fakat
> ben neyi denetleyecegimi anlamadim :)
Bunlar paket yakalama library'leri. tcpdump kurmussaniz, buyuk ihtimalle onlarda kurulmustur. Snort vs. kurulurken veya calistirdiginizda "Unresolved external" gibi bir hata veriyorsa bu veya baska libler kurulmamistir. http://rpmfind.net gibi biryerden yukleyin.
>
> cevaplariniz icin tekrar tesekkur ederim. Basarilar :))
Umarim tesekkuru hakedecek kadar faydamiz olmustur.
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/