By default logged het enkel maar. Maar je kan het ook laten loggen naar een socket waar je iets achter kan hangen wat er weer iets mee doet ( bijv je apache down gooien in dit geval ).
Bedenk je echter wel dat je altijd te laat bent met Snort afaik, hij detecteert het terwijl de betreffende app het net zo snel doorkrijgt als Snort.
Alles wat je door snort ziet is dus al gebeurd, je kan toekomstige dingen voorkomen ( door bijv het betreffende ip in je iptables te gooien ) maar het 1e is al gebeurd...
Dat is bij een remote inlog niet zo erg, gebruiker kan inloggen dit wordt gedecteerd en je kan hem eruit gooien voordat hij iets kan doen, maar bij 1-off dingen als een sql-injection ben je te laat
Snort detecteert ze alleen maar, easyids heeft blijkbaar iets eromheen gegooid wat adhv de snortdetectie gaat blokkeren, en dan zou je wel weer via snort kunnen detecteren hoeveel packages er gedropped worden ( maar daar zijn veelal handiger dingen voor dan eigengemaakte snort-rules )
Afaik moet je Snort dan ook op een losse server installeren, je wilt niet hebben dat een attack gemist wordt omdat er een zware db-query draait...
[
Voor 41% gewijzigd door
Gomez12 op 02-01-2010 20:14
]
/u/59597/cybex.png?f=community)