https://opennet.ru/openforum/vsluhforumID3/11279.html Представлен (http://www.snort.org/news/2010/10/04/snort-2-9-0-released/) новый выпуск свободной системы обнаружения и предотвращения атак Snort 2.9.0 (http://www.snort.org/), комбинирующей в себе методы сопоставления по сигнатурам, средства для инспекции протоколов и механизмы для выявления аномалий. <br><br><br>Наиболее важные улучшения:<br><br><br><br><br>- Режим предотвращения атак (IPS) включает расширение возможностей <br>подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snor...<br><br>URL: http://www.sno https://opennet.ru/openforum/vsluhforumID3/11279.html#9 Fri, 25 Jan 2013 11:20:49 GMT any в линукце.<br><br>они inline никак нормальный не прикрутят, snort_inline уже лет сто назад форкнулся от них и suricata родилась.<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#8 Tue, 30 Nov 2010 18:11:33 GMT ребята поможете установить snort 2.9.0.1 c поддержкой мускула на fedora 13<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#7 Mon, 11 Oct 2010 05:31:06 GMT в 3.0 пофиксят. <br> https://opennet.ru/openforum/vsluhforumID3/11279.html#6 Sat, 09 Oct 2010 17:35:46 GMT &gt; Ничего не мешает, так и работает - но это не красиво/неправильно. А<br>&gt; у меня, допустим, 8 интерфейсов - мне 8 конфигов обслуживать? Трешняк...<br><br>если стоит линукс, то afaik подойдёт "any" в качестве имени интерфейса, по крайней мере так обстоит дело с tcpdump и libpccap(через которую как раз и работает snort).<br>лень сейчас смотреть свои конфиги, но по моему у меня так и настроено.<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#5 Thu, 07 Oct 2010 07:51:09 GMT Ничего не мешает, так и работает - но это не красиво/неправильно. А у меня, допустим, 8 интерфейсов - мне 8 конфигов обслуживать? Трешняк...<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#4 Thu, 07 Oct 2010 05:00:55 GMT тогдауж кажды процесс на отдельном ядре.<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#3 Wed, 06 Oct 2010 21:12:32 GMT а что мешает запустить отдельный процесс для каждого интерфейса в отдельности?<br>Типа:<br>snort -i eth0 -c /etc/snort/snort_eth0.conf<br>snort -i eth1 -c /etc/snort/snort_eth1.conf<br>snort -i eth2 -c /etc/snort/snort_eth2.conf<br>...<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#2 Wed, 06 Oct 2010 15:53:20 GMT Оно наверное и с одним портом вешает не самые медленные камни.<br> https://opennet.ru/openforum/vsluhforumID3/11279.html#1 Wed, 06 Oct 2010 14:47:48 GMT Интересно, они когда-нибудь сделают работу с несколькими интерфейсами..?<br>