<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
On Fri, Mar 08, 2002 at 06:15:07AM -0800,
<br>+snort-users-request@lists.sourceforge.net wrote:
<br>>
<br>> Of course this does not give you the Data Capture capabilites
<br>> of a honeypot, as there is no system for the attacker to
<br>> interact with.  However, this could be used to help detect
<br>> scanning or probing activity.
<br>>
<br>> Thoughts?
<br>>
<br>  Hi,
<br>          Well Maybe/Maybe
not it depends. One way it could be
<br>integrated. Add a optional method/function that handles a response
<br>to the injected
<br>attack string. Then return the expected result. Then Snort adds
<br>this to the rule syntax. voila.
<p>IOW it if need be opens a rand socket
<br>that is not bidirectional and injects the response or something
<br>like that.. That would work for UDP anyhow.. TCP well then you
<br>need to complete the triple play. However it could be handled
<br>in a simular fashion. that way it might narrow the exact characteristics
<br>of a threat for better analysis. The concept of the
<br>virtual machine comes to mind however the sandbox would need to
<br>be somthing like a write once cd for example. Well need coffee
<br>very_badly bye.
<br> 
<br>Best Regards,
<br>dreamwvr@...5274...
<br> 
<pre>-- 
/*  Security is a work in progress - dreamwvr                 */
#                                                             
# Note: To begin Journey type man afterboot,man help,man hier[.]      
#                                                             
// "Who's Afraid of Schrodinger's Cat?" /var/(.)?mail/me \?  ;-]</pre>
 </html>