問題タブ [snort]

こんにちは私はsnort2.9.4をmips-linuxベースのデバイスで実行したいので、snortとすべてのサポートパッケージをクロスコンパイルします。

すべてのdaqモード--disable-static-daq を利用したくないので、snortを構成するときにこのオプションを使用します。必要なのはafpacketモードだけです。

クロスコンパイルに問題がなければ、daq_afpacket.so、libsfbpf.so.0.0.1、libdaq.so.2.0.0、libdnet.1.0.1、libpcre.so.0.0.1、libpcap.so.1をに移動します。ターゲットデバイスの/usr/libディレクトリ。そして、バイナリsnortはターゲットデバイスの/binディレクトリに移動されます。

それから私はこのようにsnortを実行します：

出力は次のとおりです。

パケットダンプモードで実行

出力プラグインを初期化しています！

/usr/lib/daq_afpacket.so：dlopen：ファイルが見つかりません

セグメンテーション違反

私がこのようにsnortを実行する場合：

パケットダンプモードで実行

出力プラグインを初期化しています！

エラー：afpacket DAQが見つかりません！

致命的なエラー、終了します。

私がここで何が恋しいのか知っていますか？

着信するすべての TCP パケットをログに記録する単一のルールを使用して、Amazon EC2 Linux サーバーに Snort をセットアップしました。これらのログをデータベースに記録するために、mysql を使用して barnyard をインストールしました。Snort は正常に動作し、プレーンテキストでログイン-K asciiすると、ログ ファイルにすべての TCP パケットが表示されます。また、unified2 形式でログインすると、すべての snort.log.timestamp ファイルを確認でき/var/log/snortます。

私の問題は、barnyard2 を実行しても、これらのログに情報が見つからないことです。次のようなフィードバックを受け取ります。

スプール ファイル /var/log/snort/snort.log.timestamp を閉じました。0 レコードを読み取ります。

ログを確認したところ、データが含まれています。バーンヤードがスプールを読み取るのを妨げている、私が見逃したある種の構成があるようです。

私は正規表現の基本的な知識を持っています。しかし、人気のあるソフトウェアである Snort や ClamAV については、ほとんど何も知りません。

私はいくつかの大きな実際の正規表現とその入力を必要とするいくつかのプロジェクトを行っています。Snort や ClamAV のようなソフトウェアは正規表現を多用していることがわかりました。だから私は彼らに興味があります。

これらのソフトウェアで使用される典型的な正規表現と、それらの入力を示していただけますか?

Windows 7 の PC で Snort を実行しようとしていますが、コマンド プロンプトで Snort を実行するたびにこのエラーが発生します。このエラーに関するアイデアはありますか ??

ありがとう 。

私の目的は、送信元ホストから sendt tcp パケットを一意のキャプチャで取得することです。再送信されたパケットは含まれません。再送パケットをパケットに含めないようにすることはできますか? 私は libpcap を使用していますが、wireshark/tshark/snort に関するヘルプは役に立ちます (libpcap ライブラリを使用しているため)。

鼻を鳴らしてもう一方を実行しましたが、barnyard2 を機能させようとしたため、鼻を鳴らしなくなりました。彼女はエラーなしで起動し、ポート監視はまだトラフィックを爆破しており、ログにエラーはありません. しかし、カスタムの Google アクセス ルールでさえ、バッファ内で起動できません。一晩ですべてを見ることから何も見ることができなくなり、私は何もしませんでしたが、彼女が最後に働いたmysqlサポートでbarnyard2をコンパイルしましたか??? 新しいサーバー、新しいインストール。

サイズの都合上、カットしました。

ここに私の完全な snort.conf -> http://www.bpaste.net/show/K4IoLi86w5fdsoRweQ0m/

ここで私の完全なスタートアップ - > http://www.bpaste.net/show/uOVVEgNWHFYTwZNmBezI/

ubuntu 32ビットを使用してsnortを実行すると、u2ログが表示されますが、SQLデータベースは何もないため、Barnyard2はこれらのファイルを読み取っていないようです。

では、どうすればこれをテストできますか？これは、 barnyard2 を実行するために使用するコマンドです。"/barnyard2-install/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f .u2. -w /var/log/snort/barnyard2.waldo"

そこには wald ファイルが表示されないので、私は本当に初心者ですが、どうにかしてこのことを学ぶ必要があります。

Snort の場合は、service snort start と入力します。私はルートとして実行していて、mysqlデータベースをチェックすると空です。バーンヤード測定値をファイルに書き込むことはできますか?

僕が求める答えがあるかもしれない場所はありますか? これをテストする方法はありますか？

また、u2spewfoo は私の鼻息にはないようです。

次のようにsnortを実行しました

./snortLog はファイル アラートと snort.log.1381507400 を受け取りました。WireShark でログ ファイルを調べたい。WireShark を起動し、[インポート] を選択して、[入力ファイル名] フィールドにログ ファイルの名前を入力しました。次に、[OK] をクリックしました。以前にキャプチャしたパケットの保存に関するメッセージを受け取りました。「保存せずに続行」を選択したところ、エラー メッセージは表示されずに続行されました。ただし、パケット リスト ウィンドウは完全に空です。

DNS に ACK があるべきではないときに警告するルールを作成するにはどうすればよいですか? 私はこれについてかなり混乱しています。

これは私がwiresharkで見たものですAcknowledgment Number: 0x000001a4 [should be 0x00000000 because ACK flag is not set]

しかし、私に警告するルールが必要です。

以下のこのルールは私には機能しません。

alert tcp any any -> 192.168.10.2 53 (msg:"MALFORMED DNS QUERY"; flags: A; ack:0; sid:10501;) 上記はアラートログに表示されません。しかし、flags: と ack: を削除すると、削除されます。