From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Fri 15 Feb 2002 - 10:35:45 EET
merhaba,
Snort ile icerisinde GET gecmeyen HTTP trafigini yakalamak uzere
asagidaki gibi bir sey yapabilirsiniz,
(satirlari snort kural formatina uygun yazma kaygim yok; anlasilir
olmayi daha cok onemsiyorum):
pass when destination port=80 and content="*GET*"
alert when destination port=80
Ozellikle pass ile verilen satirda GET ifadesini cok iyi match edecek
kesin bir kural yazmalisiniz; yoksa
pek cok bicimde kurallarinizi bertaraf edip tespit edilmeden saldiri
yapmak mumkun olur. Yukaridaki
satirlari snort kural formatina uygun yazmakta sIkIntI cekerseniz yardim
edebilirim.
Aslinda Snort HTTP icin uygulama duzeyinde (ing. application-level)
analiz yapabiliyor. HTTP trafigi
olmayan port 80 trafiginde alarm uretmesini beklerim ama bunu yapip
yapmadigini anlamak icin
spp_http_decode.c ve uricontent plugin'ini implement eden plugin'in
source'una bakmak lazim.
selamlalr.
Taner Karagöl wrote:
>Selamlar,
>Örnek olarak http (80) porttan yapılan trafiğin gerçekten http olduğunu nasıl test ederiz.
>Böyle bir trafigin içinde "GET" gibi komutlar görmemiz lazım. Örneğin snort'da bunun için bir rule yazabilirmiyiz.
>"port 80 için içinde GET olmazsa alarm ver" gibi bişey.
>
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------