Snort 2.9.7 + Ubuntu Desktop 16.04
Snort 2.9.7 + Ubuntu Server 16.04
所有新安装和升级,都运行一个简单的脚本,脚本只是发送一条消息(' snort很难使用')到每秒192.168.223.2
这是我的local.rules,只有一行:
任何警告tcp任何 - > 192.168.223.2 1234(msg:" To 192.168.223.2:1234" ;; sid:0;)
这是命令:
sudo snort -c /etc/snort/rules/local.rules-A console -i ens33
两个系统都可以捕获包。但是,请改用以下规则:
任何警告tcp任何 - > 192.168.223.2 1234(msg:" To 192.168.223.2:1234" ;; sid:0; content:" snort&#34 ;;)
桌面设备无法捕获任何包,但服务器一个没问题。
使用snort的-vd选项,“snort”难以使用'在两个控制台上打印,只有服务器操作系统可以捕获包,桌面操作系统没有任何东西。
如果没有'内容'规则的选项,服务器操作系统仍然可以,桌面操作系统捕获错误的包,请参阅图片:
1: server's, 2: desktop's wrong package be catched, 3: target package be passed
我已经尝试过使用Ubuntu Desktop版本的vmware,vbox和real pc,但都无法正常工作。
请帮我解决问题,谢谢。
答案 0 :(得分:0)
有时网卡卸载会阻止snort正常工作。尝试以pcap格式捕获流量并检查层校验和是否正常。
