我看到this 遇到相同的问题,涉及到该规则:
alert tcp any any -> any any (flags:S; msg:"NMAP TCP SYN"; sid: 1231213;)
但这是完全错误的,它会在几乎任何简单的HTTP或HTTPS请求之类的情况下提醒您。
我将以这种方式重申这个问题:
是否有任何方法可以通过查看由单个IP发送的一系列数据包来检测扫描,该IP具有SYN标志集,并且按照Snort规则发送到设备上的至少10个端口?
答案 0 :(得分:1)
对我的问题的简短回答:是的。
我刚刚在Snort中找到了一个名为 sfportscan 的模块,该模块有很多选项,例如用于保存数据包的内存以及具有超时和连接数的分析主题。
要启用 sfportscan ,您应该
1 -通常在 / etc / snort / 中将其添加到 snort.cont :
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high } \
logfile { alert }
它将查找所有协议和所有类型的扫描,例如SYN,Null,...,并将它们记录在 alert 文件(alert是实际文件名)的日志目录中,在选项 logfile 中提到。括号前后的空间很重要,如果没有括号,snort解析器会发出错误消息。
2 -运行snort -c "/etc/snort/snort.conf" -T
以确保所有配置均为Okey。
3 -稍微运行/etc/init.d/snort stop
和/etc/init.d/snort start
,以重新启动Snort。
4 -打开警报文件以查看警报:
tail -f [Address to log Directory]/alert
5 -测试是否使用 NMAP 创建日志,在另一台计算机上打开另一个终端,然后:
sudo nmap [Your Firewall or NIDS IP Address]
6 -您应该在尾文件中看到类似的东西:
Time: 02/23-12:54:21.183932
event_ref: 0
[Source ip address] -> [Destination ip address] (portscan) TCP Portscan
Priority Count: 9
Connection Count: 10
IP Count: 1
Scanner IP Range: [Destination ip address]:[Destination ip address]
Port/Proto Count: 10
Port/Proto Range: 981:12174
我的笔记: Snort是出色的IDS,并且已在许多免费甚至商业产品中使用,但它的文档和示例以及YouTube的介绍都很少,如果其社区更多地参与 Stackoverflow 问题,那将是很棒的。 / p>