我的配置如下:
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high } \
logfile { alert }
当我运行snort并使用nmap进行扫描时,日志文件输出如下: 时间:02 / 23-12:54:21.183932 event_ref:0 [源IP地址]-> [目标IP地址](portscan)TCP端口扫描 优先计数:9 连接数:10 IP计数:1 扫描仪IP范围:[目标IP地址]:[目标IP地址] 端口/协议计数:10 端口/协议范围:981:12174
但是snort文档是这样说的: 时间:09 / 08-15:07:31.603880 event_id:2 192.168.169.3-> 192.168.169.5(portscan)TCP过滤的端口扫描 优先计数:0 连接数:200 IP数量:2 扫描器IP范围:192.168.169.3:192.168.169.4 端口/原型数:200 端口/协议范围:20:47557 如果目标上有开放端口,则将附加一个或多个其他带标记的数据包:
Time: 09/08-15:07:31.603881
event_ref: 2
192.168.169.3 -> 192.168.169.5 (portscan) Open Port
Open Port: 38458
我没有event_id,而是event_ref,其值为0