Chào mọi người, em đang làm quen với IDS , có 1 vài điều thắc mắc muốn hỏi. Rất mong nhận được sự giúp đỡ của mọi người.
Sau khi tìm hiểu về IDS, em đã cài Snort và WinPcap trên Windows Xp và Win 7 theo video hướng dẫn trên mạng. Nhưng 1 số trang web yêu cầu cả MySQL, Apache ... Vậy em phải làm theo cách nào, mong mọi người trả lời giúp, và nếu chỉ dùng Snort và WinPcap có thể phát triển thành NIDS được không ? 

em đã cài đặt và chạy thử snort thành công, nhưng đến đoạn làm theo ví dụ về 1 luật của snort thì lại không thực hiện được, mong mọi người giúp đỡ.
" Luật được viết như sau:
----------------------------------------------------
alert icmp any any -> any any (msg: "co nguoi dang ping";SID:3868686
alert tcp any any -> 192.168.1.0/24 any (content: "bom"; msg: "nguy hiem";SID:3686868
----------------------------------------------------
Sau khi viết xong luật, tạo 1 file text có chứa từ bom và mở ra xem. Sau đó em chạy lệnh:
c:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log
Tuy nhiên khi vào file log thì không thấy có file alert như trong ví dụ, vậy em làm sai chỗ nào, mong mọi người trả lời giúp. Và em muốn hỏi cái SnortruleID (SID) là gì, có phải mình điền giá trị nào cho SID cũng được không ( trong khoảng <100; >1.000,000)?
 

alert tcp any any -> any 80 (content: "hvaonline.net"; msg: "hvaonline";sid: 1002; rev:1; ) 

snort -Nqc C:\Snort\etc\snort.conf -i 1 -A console 

snort -Nqc C:\Snort\etc\snort.conf -i 1 -A fast -l C:\Snort\log\ 

Em có vài câu hỏi về luật trong Snort, mong mọi người giúp đỡ. Em thấy rule action của Snort có 5 loại là : Alert, Pass, Log, Activate và Dynamic. Tuy nhiên, khi viết rule thì em thấy mỗi alert là hoạt động ( chạy dòng cảnh báo ), còn 4 action kia không thấy hiện tượng gì. Mong mọi người trả lời giúp và có thể cho em ví dụ về 4 action trên được không?  

Hi anh conmale
Hiện nay em đang dùng soft DosHttp để tấn công vào 1 trang web tự tạo và dùng Snort để phát hiện ( theo em biết soft có cơ chế tấn công dưới dạng SYN Flood). Em đã active tất cả các rule dos và ddos có sẵn của Snort mà vẫn ko phát hiện được. Vậy anh có thể giúp em tạo 1 rule phát hiện DosHttp được ko? Em chân thành cảm ơn. 

Hi anh conmale
Hiện nay em đang dùng soft DosHttp để tấn công vào 1 trang web tự tạo và dùng Snort để phát hiện ( theo em biết soft có cơ chế tấn công dưới dạng SYN Flood). Em đã active tất cả các rule dos và ddos có sẵn của Snort mà vẫn ko phát hiện được. Vậy anh có thể giúp em tạo 1 rule phát hiện DosHttp được ko? Em chân thành cảm ơn. 

Hi anh conmale
Hiện nay em đang dùng soft DosHttp để tấn công vào 1 trang web tự tạo và dùng Snort để phát hiện ( theo em biết soft có cơ chế tấn công dưới dạng SYN Flood). Em đã active tất cả các rule dos và ddos có sẵn của Snort mà vẫn ko phát hiện được. Vậy anh có thể giúp em tạo 1 rule phát hiện DosHttp được ko? Em chân thành cảm ơn. 

Hi anh conmale
Em đang cài Snort trên win xp , từ 1 máy tính khác trong cùng mạng LAN em dùng DosHttp tấn công vào 1 trang web trên mạng ( đã tấn công được). Vậy anh cho em hỏi em có thể dùng Snort để phát hiện được máy tính nào tấn công được ko ?

Em cũng đã dùng Wireshark để sniff packets như anh nói nhưng ko rõ lắm về cách nhận biết signature. Anh có thể dành chút thời gian xem gói tin của em rồi phân tích giúp em được ko? Em cám ơn anh rất nhiều .

P/s: Site của em là dangvietanh.website24h.info ( anh cứ tấn công vô tư )
Link gói tin Wireshark của em bắt được khi tấn công = doshttp:
http://www.mediafire.com/?dsnvfwmyofqw16f