問題タブ [snort]

「Ubuntu 12 LTS および 14 LTS での Snort 2.9.6.2」ガイドに従って、ubuntu 12.04 で NIDS モードで Snort を実行しています。

https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/050/original/Snort_2.9.6.2_on_Ubuntu.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1415002618&Signature=IfheMZWyL%2BB1PULrNDHCb7dkGTk%3D

Snort をテストするために、Snort が ICMP \Echo request" または \Echo reply" メッセージを確認するたびに Snort にアラートを生成させる単純なルールを作成しました。空の /etc/snort/rules/local.conf に次の行を書き込みました。

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

ここで構成ファイルを再度テストしましたが、local.conf からルールが読み込まれていません。次のコマンドを入力しました。

sudo snort -T -c /etc/snort/snort.conf

次の出力が得られるはずです。

しかし、代わりに端末で次の出力が得られました。両方のフィールドはまだ0です。

「snort -c C:\snort\etc\snort.conf –T」を使用して Snort 構成を確認しようとしています。次のような失敗メッセージが表示されました:「エラー: アクティブな応答: IP を開けません」

なぜこれを手に入れたのか理解できません。これを修正するのを手伝ってくれる人はいますか。どうもありがとう。

次のルールを Snort に入れる必要がある課題があります。

tcp any any -> 192.168.1.0/24 any (msg:"TCP DoS"; フロー: 確立された、to_server; フラグ:A; しきい値: タイプしきい値、トラック by_src、カウント 10、秒 10;)

このルールは、HC が SVR で DoS を実行するのを阻止することになっています。このルールにより、 へのトラフィックが停止するという印象を受けました。.1.0/24 サブネットは、. に向かう「SYN」応答を停止します。.1.0/24 サブネットとこれにより、サーバーは動作を継続できます

私のルールの見方では、うまくいきません。間違った場所に向かうトラフィックをブロックします。サーバーは にあります。.2.0/24 および. .3.0/24 ネットとトラフィックがその方向に向かわないようにブロックする必要があります。

私のネットワークは次のように設定されています。

システム / LAN セグメント / IP アドレス

管理クライアント (AC) / IT / 192.168.100.3/24

ユーザー クライアント (UC) / 法人 / 192.168.101.25/24

ハッカー クライアント (HC) / ローグ / 192.168.13.37

pfSense ルーター/ファイアウォール (3 NIC) / fwNet / 192.168.1.2

Ubuntu ルーター (3 NIC) / fwNet / 192.168.1.1

Snort IDS/IPS (2 NIC) (IDS) idsNet 192.168.2.2

サーバー (SRV) / sNet / 192.168.3.2

上記のフォームでは見栄えが悪いですが、今は修正できません。試してみましたが、このシステムには切り取りツールがありません。これが今のところ最善の方法です。

要するに誰が正しいの？

助けてくれてありがとう。これは情報提供です。課題は提出され、採点されています。これがどのように機能するかを理解する必要があります。

再度、感謝します。

Barnyard2 と BASE のインストールも含まれている Ubuntu 12.04 に Snort をインストールするように構成しました。Snort の Web サイトでダウンロード可能なルールを使用していますが、oinkcode.

しかし、/etc/snort/rulesすべてのルールがあるディレクトリに抽出したルールを調査した後、それらのルールはすべて空です。ルールの 1 つを次に示します。

これらのルールの何が問題なのかを指摘してくれる人はいますか? snortrules-snapshot-2970.tar.gzを使用した oinccode をダウンロードしましたsnort-2.9.7.0。解決策はありますか？必要に応じて、snort 構成ファイル (snort.conf) も投稿できますが、投稿で短くする方法がわかりません。

学校のプロジェクトで Snort を使用しています。

私の問題は、ログ ファイルがバイナリ形式で、 を使用して読み取ることができないことですless/cat/vi。どうすればいいですか？

snort.confファイルunified2形式で指定しました。ここに私のsnort.confファイルがあります

Snort のパケット コンテンツを含むキーワードをチェックしたいが、静的な単語はチェックしたくない。

たとえば、ubuntuでこのキーワードフォーム端末を取得するなど、動的にしたい。

そのコードは静的な値に使用されます。

あなたのアイデアを共有してください。

ありがとう。

次のルールがコンテンツ「unescape」を検出しない理由がわかりません。

次の作業中：

Snort は script タグ内のコンテンツを検出しないようです。どうもありがとうございました。