Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet content ?

StephaneGROBETY
When a packet is sniffed by the IDS, I get a warining, fine. But hwre is the attacking packet actually saved ? It's necessary in somce case to identify false positives and it's also usually needed when talking with 3rd party ISP (that is: when I complain about an intrusion attempt, I need to have the evidence somewhere, not just the conclusion from the filter).

Another situation where is could be critical: iif I ever see any attack RESPONSe. In such case, having the extact attack packet that was responded to will help me identify the problem way faster (e.g. the cmd.exe attack rule and prompt attack response: I know that if my web server sends back a command prompt back after an HTTP request, chances are this  isn't good. But in order to know what command was used to trigger that answer and plug the hole, I need to get the full URL used in the attack packet)


This thread was automatically locked due to age.
Parents
  • 0
    ASLs IPS, as they have it, doesn't log the payload. You need to "hack" the snort.conf/snort.conf-default files to change the logging method.

    I'm working on a hack/package that will allow ASL to log alerts/drops to an external MySQL database like ACID. In the mean time, you'll have to work on a new logging strategy. I've got a pretty good install package, but one of the Astaro guys is taking a look at it for me. I'd like to wait until then before letting anyone have it.
  • 0 in reply to JimmyM
    Thanks a lot.

    Do you, by any chance, happen to know if adapting your loging strategy to MSSQL would be feasible ?
Reply Children
  • 0 in reply to StephaneGROBETY
    Sure it's possible. However the snort_inline binary needs to be compiled with MSSQL support. One of the Astaro guys recompiled snort_inline for me with MySQL support. Snort_inline already has MySQL support built in but it just needs to be enabled at compile time. Other DBs are a different story.