[linux-guvenlik] Fw: Re: Re: gerçek trafik??

From: Serdar KÖYLÜ (serdarkoylu@yahoo.com)
Date: Sat 16 Feb 2002 - 01:06:35 EET

• Next message: Burak DAYIOGLU: "[linux-guvenlik] Re: Fw: Re: Re: gerçek trafik??"
• Previous message: Burak DAYIOGLU: "[linux-guvenlik] Re: gerçek trafik??"
• Next in thread: Burak DAYIOGLU: "[linux-guvenlik] Re: Fw: Re: Re: gerçek trafik??"

Selamlar..

Bir kac ilavede bulunmak isterim. GET yegane HTTP istegi degil. POST ? Ustelik bir POST tek bir paketle tasinamayacak kadar uzun olabilir. Bu ayri bir sorun teskil edecektir. Bir POST cagirisinin Level 6&7 uzerinde nasil gorunudugunu bulmaniz ve incelemeniz gerekir.

Bunun mantikli yolu bence, bir Application Level Proxy kullanmak olmalidir. Bildigim kadariyla (Mevzuyu cok cok az bildigimi belirteyim bastan) Snort daha alt seviyeler icin optimize bir IDS. Katiliyormusunuz Burak Hocam ?

Saygi ve sevgiler.

On Fri, 15 Feb 2002 10:35:45 +0200
Burak DAYIOGLU <dayioglu@metu.edu.tr> wrote:
> merhaba,
> Snort ile icerisinde GET gecmeyen HTTP trafigini yakalamak uzere
> asagidaki gibi bir sey yapabilirsiniz,
>
> pass when destination port=80 and content="*GET*"
> alert when destination port=80
>
> Ozellikle pass ile verilen satirda GET ifadesini cok iyi match edecek
> kesin bir kural yazmalisiniz; yoksa
> pek cok bicimde kurallarinizi bertaraf edip tespit edilmeden saldiri
> yapmak mumkun olur. Yukaridaki
> satirlari snort kural formatina uygun yazmakta sIkIntI cekerseniz yardim
> edebilirim.
> Aslinda Snort HTTP icin uygulama duzeyinde (ing. application-level)
> analiz yapabiliyor. HTTP trafigi

Iste bu ozelligi etkili kullanmak lazim. Ama bence en iyisi guzel bir proxy. Sanirim buna bastion host deniyordu ? Yanlis mi hatirliyorum ?

> olmayan port 80 trafiginde alarm uretmesini beklerim ama bunu yapip
> yapmadigini anlamak icin
> spp_http_decode.c ve uricontent plugin'ini implement eden plugin'in
> source'una bakmak lazim.

_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com

-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.

Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------

• Next message: Burak DAYIOGLU: "[linux-guvenlik] Re: Fw: Re: Re: gerçek trafik??"
• Previous message: Burak DAYIOGLU: "[linux-guvenlik] Re: gerçek trafik??"
• Next in thread: Burak DAYIOGLU: "[linux-guvenlik] Re: Fw: Re: Re: gerçek trafik??"