может ли Snort отбивать атаки, а не только их фиксировать?

Что значит отбивать ???
Не больше не меньше чем закрыть данный IP на фаирволе

в поставке снорта есть flexresp (!) очень удобная вещь (сброс соединений). В дополнение к особо надоедливым прикручивается идущий тодже в поставке guardian - deny средствами файрвола.

offtopic: заголовок попал от темы на которую отвечал 2-е суток назад. mozilla_1.0._rc1. Кэширование отключено. Странно что нигде больше (ресурсы/сайты/форумы) подобного не замечал.
Этот постинг можно удалить, он для инфы к размышлению или советов

Спасибо буду пробивать ковирять flexresp

Не могу понять, куда вставлять команды для отбивания атаки.<p> в readme написано <p>

Just add the following to a rule:<p>

resp=rst_snd, ICMP_host<p>

не понимаю, если это надо вставлять в каждое правило в каждую строчку-это не логично ,но я пробывал-не работает пишет, то не знаю, что такое resp. <p> посмотрел в мануале по снорду там тоже как-то не очень ясно описан процесс<p> помогите

короче, тебе сначала надо скомпилировать snort с flexresp, ./configure --enable-flexresp, поставить, потом в правилах для нужного правила записать, например: 

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (resp: rst_all; msg:"WEB-MISC /etc/passwd";flags: A+; content:"/etc/passwd"; nocase; classtype:attempted-recon; sid:1122; rev:1;)

все. Да придется прорписывать для каждого нужного тебе правила.

товарищь ведать хотел их отбивать .... тоесть сам закон нарушать ... ;-) легко с помощью пары скриптов и нескольких нехороших программ ...