Snort IDS
Snort — многоплатформенная "система обнаружения вторжений" (IDS, NIDS), OpenSource. Но не предотвращения
Т.е. не путать IDS и FireWall. IDS анализирует сетевую активность и извещает о подозрительной деятельности "карательные органы" (сисадмина или программу, в т.ч. FireWall, например).
http://www.snort.org/ — подробностиhttp://www.snort.org/dl/binaries/win32/ — версия для Windows
Пример правил Snort для обнаружения Phatbot:
alert tcp any any -> any any (msg:"Agobot/Phatbot Infection Successful"; flow:established; content:"221 Goodbye, have a good infection |3a 29 2e 0d 0a|"; dsize:40; classtype:trojan-activity; reference:url,www.lurhq.com/phatbot.html; sid:1000075; rev:1;)
alert tcp any any -> any any (msg:"Phatbot P2P Control Connection"; flow:established; content:"Wonk-"; content:"|00|#waste|00|"; within:15; classtype:trojan-activity; reference:url,www.lurhq.com/phatbot.html; sid:1000076; rev:1;)
См. также
http://wiki.forth.org.ru/PacketCapturehttp://www.linuxcenter.ru/lib/security/snort.phtmlhttp://linux.net.ru/node/view/154http://www.linuxinsider.com/story/38748.html
