Snort
Snort entra en la categoría de Red de sistemas de detección de intrusos (NIDS). Es el mejor programa de código abierto de este tipo que soy consciente de. La detección de escaneo de puertos es un subconjunto de NIDS, así uno puede legítimamente suponer que snort se encarga de ello.
Pros:
Snort es portable a través de múltiples plataformas usando la biblioteca libpcap.
Debido a que es totalmente un paquete de captura NIDS, no sufren de Puerto Sentrys puerto vinculante y es capaz de ver mucho más de ¿Qué pasa por debajo.
Snort puede actuar como un tcpdump como analizador de paquetes, un paquete de bitácoras (para reunir los datos estadísticos en torno a su red, o como un NIDS).
Snort puede salida de tcpdump en formato que le permite analizar los registros de snort con muchos de los programas ya existentes que interpretan tcpdumps.
Snort puede ser configurado para detectar vulnerabilidades específicas de pasar a través de su red que un programa como Port Sentry no puede. Es legal escaneo de puertos a una máquina en la mayoría de los países, todo un detector de escaneo de puertos es bueno para es actuar como un sistema de alerta temprana (debido a puertos a menudo preceden a explotar los intentos). Software como snort también puede analizar los paquetes específicos en busca de hazañas, la tala y el período de sesiones. Ésta es una buena prueba de un punto de vista, o simplemente lo que la detección de vulnerabilidades específicas se están poniendo en marcha en su contra.
Los exploits que snort vela por configurables mediante normas, las normas supletorias de detectar cientos de exploits mencionados Bind / wu-ftpd (a la derecha hacia abajo para explotar el tipo específico de analizar el paquete) a ataques DOS a una variedad de bien conocidos exploits web a pings de la muerte a netbios explota. Básicamente, si existe una red basada en explotar con un patrón discernible que debería ser trivial para crear una norma para detectar la misma. http://www.snort.org y http://www.whitehats.com llevar al día las normas (y el usuario envía a las reglas).
Snort es también extensible mediante plugins, el paquete básico ya contiene una serie de útiles plugins.
Snort no pasiva de detección de escaneo de puertos, no va a anunciar que los servicios no existen o en cualquier capacidad regalar el hecho de que se está ejecutando un IDS. Snorts puerto escáner plugin es también mucho más hábil que Port Sentry en la detección de varios escaneos. También se puede configurar el plugin que le informe sólo se buscan si escanear múltiples puertos a un determinado tipo, en comparación con el clásico Port Sentry manera de conseguir desencadenado cuando alguien se conecta a un puerto obligado.
Existe un plugin experimental para snort (llamado pala), que detecta el tráfico de red anómalo. Su bastante configurable y básicamente le permite tener un enfoque estadístico más a NIDS, la clasificación del tráfico inusual de la frecuencia con que ocurren. Otro plugin se está desarrollando que utilizará pala para señalar el atacante más probable es que en un señuelo de barrido nmap
Snort se puede utilizar para detectar ataques a través de una red completa, no sólo en una sola máquina.
Conclusión:
Snort es un buen pedazo de software, no es, sin duda, la comparación con Puerto Sentry, lo hace mucho más, y cuando lo hacen la misma cosa, Snort tiene mucho mejor. Sin un poco de configuración (sobre todo WRT haciendo caso omiso de tráfico del servidor DNS) que pueda obtener más información que usted quiere, pero los archivos de configuración se organizan de tal manera que se puede comentar una línea de incluir a hacer caso omiso de una cierta clase de exploits.
<hr>
Puede ver el artículo entier aquí: http://www.linux.ie/articles/portsentryandsnortcompared.php que se comparan entre Snort y Port Sentry. En su mayor parte suena como Snort es un mucho mejor pieza de software en comparación con el Port Sentry. He utilizado Port Sentry en el pasado, pero algunos de los puntos de este artículo parece bastante bueno y creo que va a utilizar Snort lugar. Port Sentry podría potencialmente abierto que hasta un ataque DOS.
Diciembre 25th, 2002, 9:14 pm
