嗨我的Snort配置有问题。
我设置了一个带有vagrant主机的虚拟网络,其中一个主机运行Snort(使用Barnyard2),Snort主机处于混杂模式,因此我可以读取192.168.10。* / 24中的所有数据包。 一切都适用于PING,我在/etc/snort/rules/local.rules中有一个规则:
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
此规则已正确映射,我可以看到任何主机之间的每个PING,barnyard2读取输出并将其存储在DB中。
问题是当我尝试添加其他规则时,我尝试记录SSH和NMAP,例如:
alert tcp any any -> any any (sid:1000005; gid:1; flow:stateless; ack:0; flags:S; ttl:>220; priority:1; msg:"nmap scan"; classtype:network-scan; rev:1;)
alert tcp any any -> $HOME_NET 22 (msg:"Potential SSH Brute Force Attack"; flow:to_server; flags:S; threshold:type threshold, track by_src, count 3, seconds 60; classtype:attempted-dos; sid:2001219; rev:4; resp:rst_all; )
我看不到任何提醒或使用这两条规则进行记录。
我还使用了PulledPork来获取更新的规则,我尝试IDSwakeup检查它们是否有效,但显然没有发生任何事情。
配置文件/etc/snort/snort.conf似乎配置正确(没有注释):
vagrant@vagrant-ubuntu-trusty-64:~$ cat /etc/snort/snort.conf | grep rules
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
dynamicdetection directory /usr/local/lib/snort_dynamicrules
whitelist $WHITE_LIST_PATH/white_list.rules, \
blacklist $BLACK_LIST_PATH/black_list.rules
include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules
规则文件似乎位于正确的位置:
vagrant@vagrant-ubuntu-trusty-64:~$ tree /etc/snort/rules/
/etc/snort/rules/
├── black_list.rules
├── iplists
│ └── default.blacklist
├── iplistsIPRVersion.dat
├── local.rules
├── snort.rules
├── test.rules
└── white_list.rules
我还尝试清空snort.rules并仅保留local.rules以了解它是否由于硬件限制而无法正常工作但没有任何改变。
我不知道是否可能是由于: - 配置错误 - 错误的规则 - 错误的攻击 - 硬件要求
你能帮帮我吗? :)答案 0 :(得分:0)
要做的第一件事就是检查,除了Ping之外是否还有其他东西通过接口和端口进行贩卖,snort会监听。
为此,我建议您安装工具ngrep,例如检查HTTP请求。要执行此操作,请通过&ng; ngrep -ed& ltinterface& gt' " ^ GET。*",或者万一你不希望HTTP流量寻找其他重要的东西。