Caros,
Acredito que muitos utilizem snort e mantenham as regras atualizadas com as regras do VRT. Como postei anteriormente (
http://spookerlabs.blogspot.com/2009/02/novo-pre-processador-dcerpc2-e-ruleset.html) a Sourcefire visando melhorar desempenho e capacidade de detecção de problemas de smb/dcerpc/netbios lançou o novo pré processador dcerpc v2 ou dcerpc2.
Como citado no outro post com vários links ele diminuira muito a quantidade de regras de netbios porém ele terá mais complexibilidade de configuração e o metodo de escrita de regras será um pouco diferente.
Esse post tem o intuito de avisar que voce SOMENTE conseguirá ter as REGRAS MAIS ATUALIZADAS se fizer o update para o snort 2.8.4 e configurar seu pré-processador DCERPC2.
Deem uma olhada nesse posts da Sourcefire
"This release updates the VRT Certified Snort Rules to utilize the new DCE/RPC v2 preprocessor. This change deletes more than 5000 rules in the netbios rule category and replaces them with a much smaller rule set. It aslo contains additional detection for hosts that are currently infected with the Conficker worm. "
http://www.snort.org/vrt/advisories/vrt-rules-2009-04-08.htmlVejam tambem
http://vrt-sourcefire.blogspot.com/2009/04/snort-284-is-nigh.html
ATUALIZEM seus snort para 2.8.4 o mais rapido possivel, logicamente entendam o dcerpc2 antes =)
* When downloading rules it is important to note that the 2.8 subscription release is for Snort version 2.8.4 and these rules WILL NOT work with older versions of Snort. This includes 2.8.3 and earlier. In 30 days time, these packages will be rolled over to registered users, when this happens the registered user rule tarballs will also contain the changes to the netbios rule set.
Happy Snorting!
Rodrigo Montoro(Sp0oKeR)