Emerging Threats

Posted In: , . By taladnam


เริ่มจากนำ IP Address ที่ถูกกล่าวหา ไปค้นใน Google พบว่าอยู่ใน Botnet list ของ Emerging Threats

About ET

Emerging Threats is an open source community project. Through the support of our community we are able to produce the fastest moving and most diverse Snort Signature set and firewall rules available. Other related projects find a home here as well. Matt Jonkman manages this project. ( jonkman@emergingthreats.netThis e-mail address is being protected from spambots. You need JavaScript enabled to view it )

Our content is free to use by any user or organization, commercial or private. We only ask that when you detect new threats in your environment or write new rules suitable for public release that you share that intelligence with the community at large. We update these rulesets as new information surfaces (usually several times a day 7 days a week) and highly recommend you update at least twice a week to stay up to date. Daily is your best bet.

Emerging Threats has been in operation under several names for over 5 years. We were formed originally as Bleeding Snort, but had to remove Snort from our name several years later when Sourcefire went public. We then became Bleeding Threats. That project had to be abandoned and is defunct unfortunately because of some possible license conflicts that appeared to be arising, so the entire ruleset was moved here, to Emerging Threats. In 2008 we received grant funding from the Army Research Office and the National Science Foundation to continue this project and research.

Emerging Threats exists because of the contributions of intelligence and signatures by the community. We are grateful for our grant funding from the National Science Foundation and the Army Research Office. We give great thanks to those organizations for their support!

You can download our rulesets here, view our Documentation Wiki, or browse some of the other excellent projects that have found a home here.

We exist because of the community. These are your rules!

เกี่ยวข้อง: Shadowserver Foundation


Turn it OFF and ON again!

Posted In: , , , . By taladnam

ถ้าคุณยังไม่ได้ลอง ปิด-เปิด เครื่องดูก่อนแล้วละก็ อย่าเพิ่งโทรไปฝ่าย IT Support นะครับ

ภาพ: DILBERT.com; คลิปวิดีโอ: The IT Crowd; ผ่าน serverfault


สดๆ ร้อนๆ กับประสบเหตุการณ์ ARP Spoofing ในวง LAN เมื่อวานนี้

ผมนำเครื่องไปวางในวง LAN เดียวกัน แล้วใช้ tools เช่น arpwatch, arpalert ร่วมกับ shell script ง่ายๆ ด้วยคำสั่ง arp เพื่อตรวจจับว่าเครื่องไหนที่เป็นตัวการ broadcast spoofed mac address ของ gateway ออกมา

ก็เจอและแก้ไขกันไปตามระเบียบ โดยเครื่องที่ใช้ตรวจจับก็โดน spoofed gateway ไปด้วย คำถามถัดมาก็คือ จะมีเครื่องมือตัวไหนบ้างรึเปล่า ที่ใช้สำหรับป้องกันไม่ให้เครื่องเรารับ spoofed mac address ดังกล่าวมา

เจอตัวนี้ แต่ยังไม่ได้ลอง เนื่องจากยังติดตั้งไม่สำเร็จ (ตอน make มันหา dnet.h ไม่เจอ เพราะในเครื่องไม่มี)

ArpON is a network daemon based on the underlying ARP management system offered by the kernel it runs on. Basically, ArpON uses custom criteria/policies to make secure the ARP protocol, and these criteria/policies are realized through the DARPI and SARPI protocols.

พออ่านตรงนี้แล้ว ดูเหมือนมันจะแค่บอกให้รู้ตัว แต่ป้องกันไม่ได้ซะงั้น

Keep in mind other common tools fighting ARP poisoning usually limit their activity only to point out the problem instead of blocking it, ArpON does it using SARPI and DARPI policies.

เอาไว้ทดลองแล้ว ได้ผลอย่างไร จะมา update กันอีกครั้งนะครับ