Fw: [FUGSPBR] Re: Snort pegando KLEZ
Carlos Augusto Silva
carlos em tvcultura.com.br
Seg Maio 13 13:42:35 BRT 2002
Olá Alexandre !
Na verdade, o que o Flex_Resp faz é quando ele encontra um determinado
content num pacote TCP/IP, ele fecha a conecção em ambas as pontas. Você
também pode bloquear somente o send, ou somente o receive. (rst_all close
packets in both directions) ;)
Você pode encontar isso FAQ do snort. (www.snort.org) - em inglês.
Quanto a notificar, ele mostra no alert.
Funciona assim:
Cliente 1 em A > Cliente 2 em B
Servidor A > Servidor B
O cliente não conversa com o servidor, a relação é servidor x servidor. Para
você mandar um email para outro "servidor", é o seu servidor de email quem
conversa com o servidor de email B.
Então, O Snort vai cancelar o envio do email que contiver o Klez, e deixará
passar os outros.
Ao meu ver, do jeito que a regra está, ele está checando todas as portas,
tanto a 25 (servidor A x servidor B) quanto a 110 (cliente em A x servidor em A).
Então aparentemente (eu posso estar errado) o cara não conseguirá baixar o
email infectado do servidor. A não ser que você coloque as portas que você
quer que a regra varra.
Espero ter ajudado,
Carlos
> ----- Original Message -----
> From: "Alexandre D. Bensi (aledon)" <alexandre em dep.ufscar.br>
> To: <fugspbr em fugspbr.org>
> Sent: Monday, May 13, 2002 11:07 AM
> Subject: Re: [FUGSPBR] Re: Snort pegando KLEZ
>
>
> > Ola Carlos!
> >
> > > A opção resp notifica?
> > Hehehe.. desculpa, não tem nada a ver com isso hehehe
> >
> > > To meio lerdinho pra fazer o snort tomar atitude e ignorar pacotes.
> > Um pouco menos agora... hehe. A Opção rst_all corta a conexão certo?
Isso
> > significa que o cara vai ter problemas para baixar os e-mails?? Isso é
um
> efeito
> > colateral forte...
> >
> > --enable-flexresp
> > Estou colocando a opção acima no Makefile do ports, vamos ver o que
vira.
> > Carlos, vc utiliza esse bloqueio contra vírus? Gera algum efeito
> colateral, ou
> > ele é transparente pro client?
> >
> > > Um forte abraço! Valeu a ajuda!
> > > --
> > > Atenciosamente,
> > > Alexandre D. Bensi (aledon)
> > > System/Network Administrator
> > > --
> > > Icq Uin at WORK | HOME: 118731900 | 129462580
> > > E-Mail: echo alexandre dep ufscar br | sed 's/ /@/;s/ /./g'
> > > --
> > > This mail send through Unix FreeBSD 4.5 STABLE - Amavis Perl
> > > ______________________________________
> > > fugspbr em fugspbr.org
> > > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >
> > --
> > Atenciosamente,
> > Alexandre D. Bensi (aledon)
> > System/Network Administrator
> > --
> > Icq Uin at WORK | HOME: 118731900 | 129462580
> > E-Mail: echo alexandre dep ufscar br | sed 's/ /@/;s/ /./g'
> > --
> > This mail send through Unix FreeBSD 4.5 STABLE - Amavis Perl
> > ______________________________________
> > fugspbr em fugspbr.org
> > http://www2.fugspbr.org/mailman/listinfo/fugspbr
> >
>
______________________________________
fugspbr em fugspbr.org
http://www2.fugspbr.org/mailman/listinfo/fugspbr
Mais detalhes sobre a lista de discussão freebsd