[FUGSPBR] Snort - cannot open raw socket for libnet
Alexandre D. Bensi (aledon)
alexandre em dep.ufscar.br
Seg Maio 13 12:13:36 BRT 2002
Ola!
Coloquei o Snort com a opção enable-flexresp
E criei algumas regras para barrar virus (logo abaixo), e ele entendeu a opção
resp. Porém, quando ativo o snort, o sistema retorna um erro: (cannot open raw
socket for libnet), e isso ta com cara de caracteres de kernel. Alguem sabe qual
opção deve ser incluida? Seria o IPDIVERT ??
Abaixo estão as opções que desejo negar, se alguem tiver mais, tbm é de grande
ajuda :)
alert tcp any any -> $HOME_NET 25 (msg:"Virus - KLEZ no trafego de email";
content:"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAA"; classtype:misc-ac
tivity; rev:3; resp:rst_all;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Nimda worm output attempt";
uricontent:"readme.eml"; flags:A+; resp:rst_all;)
alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"Nimda worm input attempt";
content:"|2e6f70656e2822726561646d652e652e656d6c|"; flags:A+; res
p:rst_all;)
alert tcp any any -> any 139 (msg:"SMB Nimda
RICHED20.DLL";content:"R|00|I|00|C|00|H|00|E|00|D|00|2|00|0"; flags:A+;
resp:rst_all;)
alert tcp any any -> any 445 (msg:"SMB Nimda
RICHED20.DLL";content:"R|00|I|00|C|00|H|00|E|00|D|00|2|00|0"; flags:A+;
resp:rst_all;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 25 (msg:"Nimda worm email inp attempt";
content:"|6e616d653d22726561646d652e65786522|"; flags:A+;)
alert tcp $HOME_NET any -> $EXTERNAL_NET 25 (msg:"Nimda worm email out attempt";
content:"|6e616d653d22726561646d652e65786522|"; flags:A+;)
--
Atenciosamente,
Alexandre D. Bensi (aledon)
System/Network Administrator
--
Icq Uin at WORK | HOME: 118731900 | 129462580
E-Mail: echo alexandre dep ufscar br | sed 's/ /@/;s/ /./g'
--
This mail send through Unix FreeBSD 4.5 STABLE - Amavis Perl
______________________________________
fugspbr em fugspbr.org
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd