Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1113 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet content ?

StephaneGROBETY
When a packet is sniffed by the IDS, I get a warining, fine. But hwre is the attacking packet actually saved ? It's necessary in somce case to identify false positives and it's also usually needed when talking with 3rd party ISP (that is: when I complain about an intrusion attempt, I need to have the evidence somewhere, not just the conclusion from the filter).

Another situation where is could be critical: iif I ever see any attack RESPONSe. In such case, having the extact attack packet that was responded to will help me identify the problem way faster (e.g. the cmd.exe attack rule and prompt attack response: I know that if my web server sends back a command prompt back after an HTTP request, chances are this  isn't good. But in order to know what command was used to trigger that answer and plug the hole, I need to get the full URL used in the attack packet)


This thread was automatically locked due to age.
Parents
  • 0
    ASLs IPS, as they have it, doesn't log the payload. You need to "hack" the snort.conf/snort.conf-default files to change the logging method.

    I'm working on a hack/package that will allow ASL to log alerts/drops to an external MySQL database like ACID. In the mean time, you'll have to work on a new logging strategy. I've got a pretty good install package, but one of the Astaro guys is taking a look at it for me. I'd like to wait until then before letting anyone have it.
  • 0 in reply to JimmyM
    [ QUOTE ]
    I'm working on a hack/package that will allow ASL to log alerts/drops to an external MySQL database like ACID. In the mean time, you'll have to work on a new logging strategy. I've got a pretty good install package, but one of the Astaro guys is taking a look at it for me. I'd like to wait until then before letting anyone have it. 

    [/ QUOTE ]

    Hi Jim,
    Has there been any progress on this?  I'd be very interested as well.  I'm currently working with a software developer who's NNTP server is tripping a rule and it'd really help to have the contents of the problem packets for troubleshooting.

    Cheers,
    JD
Reply
  • 0 in reply to JimmyM
    [ QUOTE ]
    I'm working on a hack/package that will allow ASL to log alerts/drops to an external MySQL database like ACID. In the mean time, you'll have to work on a new logging strategy. I've got a pretty good install package, but one of the Astaro guys is taking a look at it for me. I'd like to wait until then before letting anyone have it. 

    [/ QUOTE ]

    Hi Jim,
    Has there been any progress on this?  I'd be very interested as well.  I'm currently working with a software developer who's NNTP server is tripping a rule and it'd really help to have the contents of the problem packets for troubleshooting.

    Cheers,
    JD
Children
No Data