問題タブ [snort]

Snort で ping フラッド攻撃を検出しようとしています。ルールを入れました

Snort の ddos​​.rule ファイル内。

コマンドで攻撃してる

攻撃マシンのping統計は次のように述べています

100% パケットロス

ただし、Snort アクションの統計は、評決を次のように示しています。

ブロック ->0。

なぜこうなった？

現在、プロジェクトの Snort IDS をテストしています。Snort 2.9.5.3 インストール ガイドに従いました。トラフィックを警告するように http_inspect を正しく構成するのに問題があります。

Snort が監視している (仮想) ネットワークは、DVWA (192.168.9.30) を実行している Ubuntu マシンと Kali Linux VM (192.168.9.20) で構成されています。/etc/passwd のパケットの内容に対してローカル ルールを作成しました。このルールは、Kali VM から DVWA VM に送信されたフラグメント化されたパケットを検出しました (ファイル インクルードを使用)。

URL エンコーディング、乗算スラッシュ、および自己参照 (以下を参照) のアラートを生成するように http_inspect を構成したと思います。回避方法を実行した後、Snort からの端末出力を確認すると、これらの方法の使用が検出されたことが示されますが、アラートは生成されません。

snort.conf

ローカルルール

Snort を IPS として実行しようとしています。そのため、apt-get を介して ubuntu サーバーにSnort をインストールし、 daq_typeをafpacketとして、 daq_modeをinlineとして構成します。およびeth1:eth2のような2 つのインターフェイスを使用 して、テスト用のルールを記述します。

動作しますが、変更すると

それは動作しません。アクションをsdropに変更すると、結果は同じです。ソースからsnortをインストールしましたが、結果は同じでした。真のルールを書くのを手伝ってもらえますか?

libdnet を使用するプログラム (Snort) を実行しようとしていますが、それが見つからず、次のように出力されます。

Snort: 共有ライブラリの読み込み中にエラーが発生しました: libdnet.1: 共有オブジェクト ファイルを開けません: そのようなファイルやディレクトリはありません

ldconfigこれで、ライブラリへのパスを実行して に入れ、ライブラリを追加する必要があることがわかりました/etc/ld.so.conf。libdnet は にあるため、既にそのディレクトリをカバーしているため/usr/local/lib、変更する必要はありません。そのため、次のコマンドを実行して出力をトレースしたところ、ライブラリがロードされていないことに気付きました。ld.so.conf

.soどうやら ldconfigは、名前にどこかがありlibdnet.1、パターンと一致しないファイルのみをロードします。
ソースから libdnet をビルドし、./configure; make; make installコマンドを使用してインストールしました。必要がない限り、パッケージマネージャーを使用してインストールしたくありません。私は何をすべきか？

編集:ここでは、ライブラリはパターンと一致する必要がある
と書かれていますが、ライブラリの名前を変更することはできません。私はそれを自分のアプリで作成したり、使用したりしていません。名前を変更するとロードされますが、Snort はnotを探していると思います。lib*.so*libdnet.1libdnet.so.1

私はsnortをインストールし、実行中にWindows8に次のエラーが表示されました

出力プラグインを初期化しています! プリプロセッサを初期化しています! プラグインを初期化しています! ルール ファイル "c:\snort\etc\snort.conf" の解析エラー: c:\snort\etc\snort.conf(51) DNS_SERVERS への引数がありません致命的なエラー、終了..レジストリ キーを作成できませんでした。