問題タブ [snort]

Snort を使用して有効な反復 HTTP GET 要求を検出することは可能ですか? 例えば。クライアント マシンが HTTP 要求を送信してサーバーをフラッディングしています。

Snort で syslog (具体的には auth.log) へのロギングを停止できないようです。私が知る限り、-s引数または構成で実行しているかのように動作しているようですoutput alert_syslog: LOG_AUTH LOG_ALERT。

でコンパイルされた snort 2.9.7.0 を実行して./configure --enable-reloadいますが、不足している隠しオプションがない限り、merged.log に unified2 としてログを記録し、それ以外の場所にはログを記録しないように指示しています。

ここに私が見ているログのいくつかがあります

これらのアラートのほとんどはゴミであり、後で除外します。アラート自体は気にしません。気になるのは、アラートが auth.log に送られ、その理由がわかりません。

こんにちは、Snort の設定に問題があります。

vagrant ホストで仮想ネットワークをセットアップしました。それらのホストは Snort (Barnyard2 を使用) を実行し、Snort ホストはプロミスキャス モードであるため、192.168.10.*/24 のすべてのパケットを読み取ることができます。すべてが PING でうまく機能します。/etc/snort/rules/local.rules にルールがあります。

このルールは正しくマッピングされており、任意のホスト間のすべての PING を確認できます。barnyard2 は出力を読み取り、DB に保存します。

問題は、別のルールを追加しようとしたときです。たとえば、SSH と NMAP のログを記録してみました。

これら 2 つのルールでは、アラートやログが表示されません。

また、PulledPork を使用して更新されたルールを取得し、IDSwakeupを試してそれらが機能するかどうかを確認しましたが、明らかに何も起こりませんでした。

構成ファイル /etc/snort/snort.conf は正しく構成されているようです (コメントなし):

そして、ルールファイルは正しい場所にあるようです:

また、snort.rules を空にして、local.rules のみを保持して、ハードウェアの制限が原因で機能しないかどうかを確認しようとしましたが、何も変わりませんでした。

それが原因である可能性があるかどうかはわかりません: - 構成が間違っている - ルールが間違っている - 攻撃が間違っている - ハードウェア要件

手伝って頂けますか？:)

Windows で Snort を実行しようとしていますが、-i eth0 を使用する代わりに、リモート (rpcap) を使用できますか。VMwareでWindows 7を使用しています

これが私が実行するコマンドです c:\Snort\bin>snort -cc:\Snort\etc\snort.conf -lc:\Snort\log --daq pcap --daq-mode inline -i rpcap://[xx .xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

エラーで実行します:pcap はインラインをサポートしていません

コマンド snort --daq-list を実行します。結果は Available DAQ modules: pcap(v3): readback live multi unpriv です。

リモート マシンに接続してデータを収集する方法を教えてください。

どうもありがとう！

Snort を実行するために必要なものがすべて揃っています。

• ポークを引っ張って Snort ルールを更新
• スレッド化されていない tcl と必要なすべてのパッケージ
  • mysqltcl
  • Tclx
  • しゃ1
  • たこ
  • 等..
• sguil クライアントとサーバー
• mysql サーバー
• 私はsnort_agent.tclを使用しています
• 納屋2

また、プリプロセッサ sfportscan を使用して snort.conf を設定しました。

これがSnortの実行からの出力です。興味のあるビットにそれを取り除きました

ポートスキャンの実行方法は次のとおりです

今、私の問題はセンサーレベル/ロギングレベルにあります。これは私の sensor_agent.tcl コンソールに表示されるものです

どんな助けでも大歓迎です！とにかく始めたいのですが、とにかくセットアップしたいポートスキャンを除いて、合理的なテストは実際にはありません。

デスクトップで Snort を使用しており、ルールがトリガーされたときにポップアップ ウィンドウを表示したいと考えています。local.rules に独自のルールを記述しました。私は電子メール システムを使用しないので、メール オプションは無視してください。ログは /var/log/snort/alerts ファイルにあります。これを成功させる方法はありますか。このファイルにアラートが書き込まれたときに、グラフィカルな警告を表示したいのですが、アラート ファイルをチェックする bash スクリプトを作成しようとしました。ハッシュが変更されたときに、notify-send で最後の 10 行をポップアップ表示しましたが、できませんでしたそれを達成してください..助けてください。よろしく

私は現在、ラズベリーパイで実験しています。パケット検出ソフトウェアである Snort を実行しています。Snort が警告を発する場合、(Python) スクリプトを実行したいと思います。

Snort は、次のようにラズベリー pi で実行されます。

呼び出されたときにラズベリー パイの GPIO ピンを制御する Python スクリプトを作成しました。それをより文脈に取り入れるために。ラズベリー パイが ping/ICMP パケットを受信すると、赤色のアラーム ライトが点灯し、同じデバイスによって制御されます。

Snort ルールは現在機能しており、ICMP パケットが到着すると、アラートがコンソールに出力されます。ただし、snort で python スクリプトを実行する方法がわかりません