Quer dizer que a partir desses dados ai não tem como fazer nenhuma regra? Ela iria generalizar e pegar quais tipos mais de serviços que não deveria pegar? Pois aqui na faculdade acho que ela não iria fazer um bloqueio de nenhum dos serviços disponibilizados... se tiver como fazer a mesma e me passar ficaria grato... E no caso da confecção de uma regra de PORTSCAN alguem saberia como fazer?
Grato Danilo! --- Em qua, 5/11/08, André Bertelli Araújo <[EMAIL PROTECTED]> escreveu: De: André Bertelli Araújo <[EMAIL PROTECTED]> Assunto: Re: [hlbr] Criar regras para o HLBR, a mão a partir do SNORT Para: [email protected] Data: Quarta-feira, 5 de Novembro de 2008, 23:46 Não tem parâmetros de rules no HLBR para converter esse tipo de regras. Só dá pra converter diretamente as regras do Snort que se baseiam em parâmetros "content" e "nocase; content" e "pcre". Em tese, seria possível simplesmente montar uma regra HLBR genérica a partir disso aí... por exemplo, essa "SHELLCODE x86 NOOP" significa procurar por um código que pode ser um shellcode, correspondente à instrução assembly NOOP; se bem me lembro o NOOP é um byte de valor 0x90. Mas isso fica um pouco genérico demais pra jogar em uma regra HLBR. 2008/11/5 danilomthebest <[EMAIL PROTECTED]>: > É o seguinte peguei no SNORT essas linhas: > SHELLCODE x86 NOOP > MS-SQL version overflow attempt > MS-SQL Worm propagation attempt > > dentre outras existentes, como faço para confecciobar uma regra > utilizando isso dai ?? Ou o que devo pegar no SNORT para que possa > criar regras para o HLBR ??? > > Grato Danilo... > > -- .o. André Bertelli Araújo ..o http://bertelli.name ooo <>< ------------------------------------ --------------------------------------------------------------------- Esta lista não admite a abordagem de outros assuntos que não estejam ligados ao IPS HLBR. Quem insistir em não seguir esta regra será moderado sem prévio aviso. --------------------------------------------------------------------- Sair da lista: [EMAIL PROTECTED] --------------------------------------------------------------------- Esta lista é moderada de acordo com o previsto em http://www.listas-discussao.cjb.net --------------------------------------------------------------------- Servidor Newsgroup da lista: news.gmane.org Grupo: gmane.comp.security.ids.hlbr --------------------------------------------------------------------- HLBR no Orkut: http://www.orkut.com/Community.aspx?cmm=16263377 --------------------------------------------------------------------- Links do Yahoo! Grupos Novos endereços, o Yahoo! que você conhece. Crie um email novo com a sua cara @ymail.com ou @rocketmail.com. http://br.new.mail.yahoo.com/addresses
