答:如果你正在复制检查报文的数据负载,snort就会进行这种报警。这些规则造成的误报警率非常高,因为它们只是基于对端口号的检查。
答:这是http预处理器的一部分,最基本的情况下,如果http解码例程在一个http请求中发现一个%00,snort就会发出这些报警信息。有时候,站点使用url编码的二进制数据cookie,或者你正在扫描443号端口和获得一个SSL加密的报文,都可能造成类似的误报警。如果你记录了引起报警的报文,可以检查引起报警的字符串,判断是否是误报警。还有unicode报警也受这种误报警的干扰。只有检查引起报警的报文负载才能确定你是否真的遭到了攻击。
答:sans研究中心有关于IDS的课程。这里有几本可以参考的教材:
答:你可以使用多个输出插件建立冗余输出。例如:
答:这都是连接失败的ICMP不可达数据包的前4个字节。
答:你必须使用--install-incl选项编译libpcap。
答:你需要安装lex和yacc工具,对应的GNU软件是flex和bison。
答:和一个snort规则文件配合使用,tcpdump数据能够帮助你分析恶意内容、端口扫描或者其它snort能够检测的东西。snort只能一解码的格式简单地显示报文内容,更加容易进行分析。
