2008/11/10 Danilo Marques Oliveira <[EMAIL PROTECTED]>: > Quer dizer que a partir desses dados ai não tem como fazer nenhuma regra?
Sim, quer dizer que esses parãmetros de regras do Snort não têm correspondente nas regras do HLBR. > Ela iria generalizar e pegar quais tipos mais de serviços que não deveria > pegar? Provavelmente... > Pois aqui na faculdade acho que ela não iria fazer um bloqueio de nenhum dos > serviços disponibilizados... se tiver como fazer a mesma e me passar ficaria > grato... Bem, pra fazer algo equivalente, seria necessário descobrir como o Snort processa esses parâmetros SHELLCODE e MY-SQL; no momento eu não sei dizer como eles funcionam. É possível que haja uma forma de escrever uma regra HLBR que "emule" esse comportamento... Note que já existem algumas regras no HLBR para filtrar shellcodes: uma delas, se bem me lembro, tira vantagem do fato de alguns shellcodes terem sequências de bytes 0x90. > E no caso da confecção de uma regra de PORTSCAN alguem saberia como fazer? Também não existe parâmetro nas regras HLBR para filtrar isso, mas portscan é uma coisa que é melhor filtrada em um filtro de pacotes (iptables). É nossa filosofia não colocar todas as formas de filtragem possíveis no HLBR, dentro do conceito de que um firewall na verdade é uma coleção de sistemas atuando juntos, de preferência em máquinas separadas (IPS, IDS, filtro de pacotes, etc.) > Grato Danilo! > -- .o. André Bertelli Araújo ..o http://bertelli.name ooo <><
