PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : oversize_chunk_encoding



sascha74
01.07.08, 14:59
Hall Leute,

weis jemand von euch wie man bei snort präprozessor http_inspect das oversize_chunk_encoding abschalten kann.


preprocessor http_inspect: global \
iis_unicode_map unicode.map 1250
# detect_anomalous_servers

#
preprocessor http_inspect_server: server default \
profile apache \
ports { 80 8080 } \
flow_depth 300

#preprocessor http_inspect_server: server xx.xx.xx.xx \
# ports { 80 8080 } \
# flow_depth 0 \
# ascii no \
# double_decode no \
# non_rfc_char { 0x00 } \
# chunk_length 900000 \
# non_strict \
# oversize_dir_length 300

gruss
sascha

MiGo
03.07.08, 17:07
weis jemand von euch wie man bei snort präprozessor http_inspect das oversize_chunk_encoding abschalten kann.
Du kanns es auch einfach in der threshold.conf ignorieren lassen, wenn ich mich da recht erinnere.

sascha74
17.07.08, 10:32
Du kanns es auch einfach in der threshold.conf ignorieren lassen, wenn ich mich da recht erinnere.

Hey Danke !

hast du ein Beispiel für diese Datei

403
17.07.08, 19:35
moin, zum beispiel so:

Um bestimmte als 'normal' erkannte Pattern vom Snort Reporting auszuschliessen,
sind Eintraege in der threshold.conf noetig:

# Dec 8 20:29:02 tc3 snort[601]: [1:1384:8]
# MISC UPnP malformed advertisement [Classification: Misc Attack] [Priority: 2]:
# {UDP} 192.168.178.1:1900 -> 239.255.255.250:1900
suppress gen_id 1, sig_id 1384


Dieses Beispiel unterdrueckt UPnP Meldungen die von der Fritz!Box gesendet
werden. Wie findet man die sig_id: grep -r -l Fehlmeldung /etc/snort/rules

Gruss 403

Edit: 1. die Datei ist gut dokumentiert, aber du willst ja einfach nur den Praeprozessor tunen, warum nimmst du dann die
Sachen nicht raus, bzw was kommen fuer Fehler?