From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Sat 10 Feb 2001 - 18:42:24 EET
Switch lerde monitor portu bulunmaktadir bu porta switchlerin tüm portundan
geçen bilgiler yollanir.
Veya port mirroring denen islem vardir bir veya daha fazla sayidaki portun
bilgisini belirtilen baska bir porta kopyalayabilirsiniz.
Iyi çalismalar.
-----Original Message-----
From: linux@listweb.bilkent.edu.tr [mailto:linux@listweb.bilkent.edu.tr]On
Behalf Of Murat SULUHAN
Sent: 06 Şubat 2001 Salı 19:18
To: Multiple recipients of list LINUX
Subject: [LINUX:24984] RE: snort ve saldiri tespiti TEKRAR
Merhabalar
Sormadan edemiyecem, switchli bir networkde sniffer veya snort nasil tum
network trafigini dinleyebiliyor,
tcpdump yaparken ethernet kartini promicous moduna sokma olayi var ama ne
oluyor promicuous moda girince switch ile konusup anlasiliyormu tum trafigi
bana da goster diye
--------------------------------
|
| Murat SULUHAN
| TE.SA.M. T.U.R.K. / GLOBALSTAR
|
--------------------------------
> -----Original Message-----
> From: linux@listweb.bilkent.edu.tr
> [mailto:linux@listweb.bilkent.edu.tr]On Behalf Of Deniz CEVIK
> Sent: Tuesday, February 06, 2001 6:07 PM
> To: Multiple recipients of list LINUX
> Subject: [LINUX:24979] RE: snort ve saldiri tespiti TEKRAR
>
>
> Genelde ids denilen yazilimlar sniffer tabanli olarak
> çalisirlar. Eger
> snort ve benzeri programlarin requirmentlarina bakarsaniz lipcap gibi,
> libnet gibi seylere ihtiyaç duyarlar. Basit bir ids bulundugu networkteki
> trafigi dinleyerek kendi databasin'de tanimlanmis belli degerlerle o anda
> üzerinden geçen paketlerin belli alanlarini karsilastirir.
> Örnegin lotus notes'un bir açigini ele alalim
> ../..blahblah/win.ini seklinde
> bir http requesti aslinda basit bir http baglantisi gibi gorunsede karsi
> tarafta win.ini dosyasini görintülemeye izin verir. IDS bu
> request ile kendi
> databaseinideki uygun aktiviteyi karsilastiri eger match ise bu
> bir ataktir
> diyip baglantiyi kes idyebilir veya arkasindaki firewall bu baglantiyi su
> kadar üreligine kapat diyebilir veya diyebilmeli. Bu basit yöntemi tabi
> birde akilli yontemler var sanbox denen yontemler gibi bunlar biraz daha
> karisik. Birde paketler encrypted yollandigi zaman yapilan islemler varki
> bunlari snortun dokumaninda bulamazsin. Bunlar daha cok ticari
> urunler olan
> RealSecure, intrusion.com, NFR gibi ürünlerin özellikleri.
>
>
> Iyi çalismalar.
>
> -----Original Message-----
> From: linux@listweb.bilkent.edu.tr [mailto:linux@listweb.bilkent.edu.tr]On
> Behalf Of Ugur Coskun
> Sent: 05 Şubat 2001 Pazartesi 22:45
> To: Multiple recipients of list LINUX
> Subject: [LINUX:24940] snort ve saldiri tespiti TEKRAR
>
>
> kusura bakmayin turkce karakter kullanmisim duzeltip tekrar gonderiyorum.
> kusura bakmayin. Saygilarimla...
>
> UGUR COSKUN
>
> > selamlar
> >
> > snort hakkinda dokuman okuyordum fakat anlayamadigim birkac
> nokta var.
> > Simdiden gorusleriniz ve yardimlariniz icin tesekkur ederim
> >
> > soru1: "Kotu Kullanim Tanimlama Pattern-matching vb. yontemlerle
> > gerceklestirilir" deniliyor. Bu cumlenin anlami nedir?
> > soru2: Saldiri tespitinde genel guclukler basligiyla ""Bilesen temelli
> > saldiri tespiti" gelismemis durumda
> > IETF - IDWG
> > GIDOS (http://www.gidos.org)" denerek ne denmek istenmis.
> > soru3: "Yön bilgisinin verilebilmesi" ne demektir.
> > soru4:
> > alert TCP any any <> any 6699 (msg:"Napster Client Data";
> Content: ".mp3";
> > nocase; )
> >
> > alert TCP !$HOME_NET any -> $HOME_NET 53 (msg:"OVERFLOW-Named-ADM-NXT -
> > 8.2->8.2.1"; content: "ADMROCKS"; )
> >
> > alert TCP !$HOME_NET any -> $HOME_NET any (msg:"IDS5 -
> SCAN-Possible NMAP
> > Fingerprint attempt"; flags: SFPU; )"
> >
> > mesaj veya paket inceleme tanimlari eylem/protokol/kaynak/hedef/yön
> > formatinda fakat burdaki herhangi bir satiri bana aciklamali olarak
> > yazabilirmisiniz. ornegin bir suru any kullanilmis. bir kismini
> > cozdum fakat
> > olayi kavrayamadim sanirim on bilgim eksik.
> >
> > soru5: "Libpcap ve libnet paketlerinin varl???n? denetleyin"
> denmis fakat
> > ben neyi denetleyecegimi anlamadim :)
> >
> > cevaplariniz icin tekrar tesekkur ederim. Basarilar :))
> >
> > UGUR COSKUN
> > ITU MATEMATIK MUHENDISLIGI
> >
> >
> >
> > Listeden cikmak icin:
> > unsub linux
> > mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> > Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> > Listeci arayuzu:
http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
>
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/