問題タブ [snort]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - Snort ログ ファイルから情報を抽出するための Python 2.7 の正規表現
正規表現を使用してSnortファイルから情報を抽出しようとしています。IP と SID は取得できましたが、テキストの特定の部分を抽出するのに問題があるようです。
Snort ログ ファイルの一部を抽出するにはどうすればよいですか? 抽出しようとしている部分は、[Classification: example-of-attack]またはのようになります[Classification: Example of Attack]。ただし、最初の例では任意の数のハイフンを使用できますが、2 番目の例ではハイフンを使用せずに大文字をいくつか使用しています。
またはだけを抽出するにはどうすればよいですexample-of-attackかExample-of-Attack?
残念ながら、次のような静的な単語を検索する方法しか知りません。
Web でさまざまなコマンドを試しましたが、うまくいかないようです。
networking - AlienVault OSSIM: 無効な「if_sid」エラー
質問がプログラミングに関連していると見なされるかどうかはわかりませんが、とにかく試してみます。Alienvault OSSIM システムは初めてです。自分でルールを作る方法を学ぼうとしていますが、残念ながら私には困難があります。Snort ルール フォルダ内のルール ファイル「local.rules」に簡単なルールを作成しました。
このルールは、任意のマシンから任意のマシンへの icmp ping の後にトリガーされます。Snort がこのルールを処理するかどうかを確認したところ、実際にその記録が Snort ログ ファイルに表示されます。
これについて行った検索から、ルール ファイルを変更した後、ルール ファイルをマッピングするために以下のスクリプトを実行する必要があることに気付きました。
次に、local_rules.xml ファイルに次の OSSIM ルールを作成しました。
システムの再起動後、マシンにいくつかの ping を送信しましたが、アラート ログにルールが発生として表示されませんでした。OSSIM システム エラー ログには、次のように表示されます。
誰かが私が間違っていることを説明できますか?
snort - 悪意のある URL または Snort ルール リストにない URL を表示しようとするユーザーをリダイレクトしますか?
Snort を検出システムとして使用する、かなり単純なインライン IPS セットアップがあります。許可されていないリストにある URL を表示しようとするユーザーを Snort でリダイレクトできるかどうか疑問に思っていました。
私は Snort live-updated/most recent データベースを購読しており、動作していてアラートを出していますが、リダイレクトのトピックについてこれまでに見た唯一のことは次のとおりです。
悪意のある攻撃 -> Snort が攻撃を認識 -> ハニーポットにリダイレクトされますが、次のことはありません。
LAN 上のユーザー -> Snort が許可されていないサイトを認識 -> xyz ページにリダイレクト
http - HTTP Referer フィールドに表示されるのはなぜですか?
Snort IDS を実行していますが、ルールの 1 つがHTTP ヘッダー<!--{1,200}-->のフィールドで一致します。Refererpcap を見ると、一貫性がないようです。HTMLのように見えることもあります。あるケースでは<!--SS_END_SNIPPET (2,17)-->(またはそのようなもの)がありました。
ここで Google を検索しましたが、これを説明するものはまだ見つかっておらず、目的が何であるかわかりません。
サインはセットで届きました。探しているものをキャプチャするように改良できる場合は、変更したいと思います。それは多くの一致を生成します。もしくは、完全になくしたい。
これの目的は何ですか?また、クロス サイト スクリプティングとどのような関係があるのでしょうか?
mysql - barnyard2 が mysql と通信していない
次の構成でsnortをインストールしました
次のように設定されたicmpルールがあります
次のコマンドを使用して Snort を開始しますalerts。snort.u2.timestamp
私のbanyard2設定ファイル
次のコマンドの使用を開始します
ログでは、次の問題が発生し、mysql には何も書き込まれません。
snort - Snortアラートが何もログに記録していないため、snortがsynフラッド攻撃を検出したかどうかを知る方法
Centos で IDS として Snort を実行しています。Snort が syn フラッド攻撃を検出できるかどうかをテストしようとしています。同じ LAN ネットワークから攻撃を送信しています。このルールを local.rules に追加しましたalert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)。Snort を高速モードで実行すると、Snort アラート ファイルがログに記録されません。ロギングしていましたが、現在はロギングしていません。そのため、攻撃を検出したかどうかはわかりません。Snort にこの攻撃を検出させるにはどうすればよいですか?
logging - Snort からアラート ログを読み取る
Snort セットアップの新しいインスタンスがあります。アラート ログを確認しようとすると、ディレクトリに /var/log/snort/alert ファイルがないことに気付きました。このファイルに触れて chmod を実行して、snort ユーザーに読み取りと書き込みのアクセス権を付与しようとしましたが、まだアラートが表示されません (すべての呼び出しをキャッチしてエラーとしてログに記録するルールを作成しても)
何か不足している場合はどうすればよいですか。
ちなみに、Snort で実行するコマンドは次のとおりです。
何か不足していますか?