問題タブ [snort]

win7でsnortを使っています。スニファ モードで snort を使用すると、多くのパケットをファイルに記録できることがわかっているので、それらを mysql サーバーに記録したいと考えています。snort.conf でデータベース出力プラグインを有効にし、ルールをカスタマイズしました。

テストとして。

すべて問題なく、IP が 172.18.186.186 の PC を使用して、別の 172.18.186.189 に ping を実行しました。私が取得したいのは 8 つのレコードです。そのうち 4 つのレコードがあり、それらのip_srces は 172.18.186.186 です。ただし、4 つのレコードを取得したところ、ip_dsts は 172.18.186.186 で、ip_srces は 172.18.186.189 です。

わかりました、それは私の問題です。見たい 8 つのレコードを取得するにはどうすればよいですか? 出来ますか？前もって感謝します。

パイプまたはストリーム経由で Snort ログを読み取るにはどうすればよいですか? このようなもの ：

これは可能ですか？私たちのグループは、来たるセキュリティ コンテストに向けて準備を進めてきましたが、NIC が 1 つしかないことはわかっています。解決策を調査す​​るために何時間も試みましたが、うまくいくものは見つかりませんでした. 誰かが私たちを正しい方向に向けることができますか?

重複するエントリを見つけるには、大規模なデータベース（Snortアラート）でクエリを実行する必要があります。しかし、以下のクエリを思いついたのですが、実行に時間がかかります！

上記のクエリは、同じアラートip_dstを検索しようとし、アラート timestampがlayer4_dport 複数回発生した場合に発生します。私はそれが明確であることを願っています！

それを効率的にするためのヒントやコツはありますか？

alert tcp any any -> any any (msg:"PRIVMSG from an IRC channel suspicious act"; content:"PRIVMSG"; offset:0; depth:7; nocase; dsize:<64; flow:to_server, Established; tag:セッション、300、秒; クラスタイプ: 不明な不良; sid:2000346; rev:4;)

上記のルールは、ボットマスターへのメッセージに応答するボットを監視するために書かれています。ルールは正常に機能していますが、1 つのボットが応答し、複数のホストが同時に応答しているときにアラートがないか、1 つのホストに対してアラートが 1 つでもある場合のみです。セッション時間を 30 または 150 に変更しましたが、うまくいきません。

効率化するためのヒントやコツはありますか？

ありがとう。

-アイメン

squid daq モジュールには、libpcap、ipfw、pfring など、さまざまな種類のキャプチャ モジュール用の多くのモジュールがあります。daq を使用すると (squid のドキュメントに基づく)、多くのキャプチャ ライブラリに対して 1 つのインターフェイスを使用できます。しかし、他のオープンソース ソフトウェアと同様に、ドキュメントがありません。

Snort daq モジュールを使用するための適切なドキュメントはありますか?

私は鼻を鳴らすのがとても初めてです。Snort を Windows 7 にダウンロードしましたが、実行したいですか? Windows 7 のコンピュータ フォルダ内の Snort インストール フォルダにある snort.exe ファイルを開きました。コマンド プロンプトとして実行しましたか?それでよろしいですか?

ホーム ネットワークで Snort を実行しようとしていますが、ポートをミラーリングするスイッチがありません。代わりに、Tomato (dd-wrt) を搭載した Asus RT-N16 を使用しています。何時間も検索した後、私が見つけた唯一の解決策はここでした: http://www.snort.org/assets/182/snort-opensuse-vbox-ddwrt.txt

基本的に、彼らは次の 2 つの iptables ルールを作成するように言いました。

iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.20 --tee

iptables -A POSTROUTING -t mangle -j ROUTE --gw 192.168.1.20 --tee

問題は、 --gw が有効なフラグではないことです。

次に、ルールが存在するかどうかを確認するスクリプトを作成する必要があります。存在する場合は、ルールを削除します。そうでない場合は、ルールを作成します。

iptables -L -v -n --line-nをgrepする必要がありますか、それともiptables-saveを grep する必要がありますか?

1. 無差別ポートを 192.168.1.20 にエミュレートするための正しい iptables 構文は何でしょうか?

2. iptables ルールが存在しない場合は有効にし、存在する場合は削除するスクリプトを作成するにはどうすればよいですか?

ありがとう、

ライアン

私は、Linux の下で C で書かれたsnortというオープン ソース プロジェクトに取り組んでいます。プロジェクトを netbeans で正しく開いたので、このソース コードにいくつかの変更を加えます。プログラムの src フォルダーにはいくつかのフォルダーが含まれており、各フォルダーにもいくつかのフォルダーがあります。netbeans は make ファイルを生成できると聞きました。フォルダー XFolder 内の src ファイルにいくつかの変更を加えており、プロジェクト内の別のフォルダー (YFolder) でライブラリ関数を使用したいと考えています。.h ファイルをインクルードし、関数を正しく使用しました。

これでプログラムがコンパイルできるようになったのでOKですが、makeの過程で作成したダイナミックライブラリ「.so(共有オブジェクトファイル)」を使うと、プログラムを実行すると、他のフォルダーから使用した関数が定義されていないことを意味するエラーが表示され、このエラーが表示されます。(sfxhash_new は呼び出した外部関数の名前です)。

libsf_sip_preproc.so: 未定義のシンボル: sfxhash_new

Makefile.am も編集し、そのパッケージのソースを追加しました ( ../YFolder/lib.c and lib.h)。しかし、効果的ではありません。誰でも私を助けてもらえますか？

編集：

私はフォルダー src/dynamic-preprocessor/sip にいます ファイルで関数を使用したい: src/sfutil/sfxHash.c 関数名は sfxhash_new(... ... ...) sfxHash.h を正しく含めました。Makefile.am にいくつかの変更を加えましたが、メインのメイクファイルはこれです。

私の Makefile.am ファイル:

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server, Established; content:"NICK "; nocase; offset: 0; depth: 5; flowbits:set, community_is_proto_irc; flowbits: noalert; classtype:misc-activity; sid:100000240; rev:3;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT 内部 IRC サーバーが検出されました"; フロー: to_server、確立; フロービット:isset,community_is_proto_irc; クラスタイプ: ポリシー違反; sid:100000241; rev:2;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"内部ボットからの CHAT IRC メッセージ"; フロー: 確立; フロービット:isset,community_is_proto_irc; content:"PRIVMSG "; nocase; classtype:policy-violation; sid:1463; )

上記のルールは、任意の IRC ポートで IRC ボット/サーバーのアクティビティを追跡するために、 David Biancoによって作成されました。ただし、上記のルールは正常に機能しますが、問題があります。私の問題は、複数の IRC サーバー (一部は 7000 で動作し、もう 1 つは 6667 で動作) がネットワーク上で実行されている場合に発生します。それらの一部はルールの条件を達成し、Snort はアラートとそれらの一部 (または 1 つでも) を生成します。これらの条件を達成しないため、Snort は定義されたセットに関連するアラートを生成しません。ある種の違和感があると思います。その問題に関する提案はありますか？私はSnort 2.8に取り組んでいます。