我试图在由AWS Ubuntu 16.04实例组成的系统上设置IDS。 我的HIDS由OSSEC 2.8.1pipe理,我的NIDS由Snort 2.9.9.0pipe理(由Barnyard2版本2.1.14parsing,也pipe理Syslog转发)。 在这个实例(和之前的其他实例)中,当我一方面设置OSSEC,另一方面设置Snort / Barnyard2时,我注意到OSSEC(自动configuration为使用rsyslog进行日志logging)本身运行良好。 另外,当我把这行放到barnyard2.conf中,并且OSSEC没有运行时,Snort / Barnyard2工作正常。 output alert_syslog: LOG_LOCAL5 LOG_ALERT 但是,当HIDS和NIDS都在运行/转发到系统日志时,我的EC2实例冻结,我必须恢复映像以使其再次运行(即使我重新启动实例,我不能重新进入)。 我已经尝试将OSSEC和Snort / BY2logging到不同的文件,但是没有奏效。 我也尝试设置磁盘辅助内存队列,这也没有奏效。 我真的需要设定这一点,我不能只在一个和另一个之间进行select。 我已经将此文件添加到/etc/rsyslog.d : $template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n" $ActionQueueType LinkedList $ActionQueueFileName srvrfwd $ActionResumeRetryCount -1 $ActionQueueSaveOnShutdown on # For general Syslog info *.* @@wxyz:1514;GRAYLOGRFC5424 local5.alert /var/log/snort.log local5.alert @@wxyz:1515;GRAYLOGRFC5424 我还应该提到,这个文件正确地将Snort和其他rsyslog数据转发到中央日志logging服务器,并且我也可以为OSSEC设置中央日志logging,但是在任何给定的实例中,我不能运行OSSEC和Snort + Barnyard2 […]
我在snort规则很新,所以我找不到下面的规则。 当tcp数据包来自外部networking和任何端口到家庭networking和端口3389时,这个规则发送警报? 只是检查端口,IP协议? 如果是的话,我认为它不能检测rdp dos攻击,因为当一个普通的rdp连接想要build立这个规则发送警报。 alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"OS-WINDOWS Microsoft Windows RemoteDesktop connect-initial pdu remote code execution attempt"; sid:21619; gid:3; rev:5; classtype:attempted-admin; reference:cve,2012-0002; reference:url,technet.microsoft.com/en-us/security/bulletin/ms12-020; metadata: engine shared, soid 3|21619, service rdp, policy balanced-ips drop, policy security-ips drop, policy max-detect-ips drop;)
我有CentOS PC与suricataconfiguration为af_packet零拷贝模式。 我想阻止除了允许的所有端口。 我怎样才能做到这一点? 我知道在Suricata中有Berkeley Packet Filter(BPF)支持,但我无法理解如何configuration它。 例如,如果我说: not icmp那么suricata将阻止icmp数据包,并通过其他一切。 但是…如果我只想得到ICMPstream量icmp或not (not icmp)不工作。 是否有可能颠倒过滤规则?
我试图在我的局域网中部署一个Snort框。 我有一个Linksys的SRW248G4,并试图configuration端口镜像,以便Snort可以听混淆模式在networking上的一切。 所以在pipe理员/端口镜像,我有三件事情: 源端口(e1,… e48,g1 … g4) types(Rx,Tx,Both) 目标(e1 … e48,g1 … g4) 上次我玩它,我杀了交换机上的所有stream量,我不得不重新启动它几次…所以现在我问的问题之前: 我是否需要configuration每个源端口(从1到48)转发到单个混杂端口? 48条规则! 那是对的吗 ? 谢谢 !
我试图在安全探测器上configurationSnort,并且出现错误:致命错误:database:mysql_error:无法在“x”(111)上的MYSQL服务器上连接。 我已经build立了权限的帐户,我认为现在的问题是与snortconfiguration。 为了帮助我更好地理解,可以告诉我哪些variables应该到达输出数据库的哪个位置? output database: log, mysql, sensor_name=<?> dbname = snort user = x host=<?> password=x output database: log, mysql, sensor_name<?> dbname = snort user = x host=<?> password =x 我知道我需要把IP地址的传感器名称和主机,但哪些? 设备IP是哪个条目,另一个条目是什么?
从安全的洋葱看我的pcap后,我想筛选出一个主机(我们称之为192.168.4.4),并过滤掉一些stream量(端口80和443),目前的项目是看看其他交通不是networking相关的。 运行tcpdump / windump我可以做到这一点只需tcpdump -w notwww.pcap不是192.168.4.4不是端口80不是端口443 但我无法find文件或位置将其放置在configuration中。
我正在使用Snort,通过执行snortconfiguration文件和snort规则来使用networkingIDS,我也想要捕获所有通过特定networking接口的数据包(stream量)。 我的命令是sudo snort -dev -P 65535 -i wlan0 -c /etc/snort/snort.conf -l /var/log/snort/和我想要的日志格式是 07/20-13:09:52.667262 34:DE:1A:26:03:18 -> 01:00:5E:7F:FF:FA type:0x800 len:0xAF 192.168.1.5:60857 -> 239.255.255.250:1900 UDP TTL:1 TOS:0x0 ID:29142 IpLen:20 DgmLen:161 Len: 133 4D 2D 53 45 41 52 43 48 20 2A 20 48 54 54 50 2F M-SEARCH * HTTP/ 31 2E 31 0D 0A 48 6F […]
我最近租用了我的第一个vServer(Ubuntu,LAMP + Webmin预安装)。 我需要它,因为我写的Java应用程序应该作为游戏服务器运行。 我对Ubuntu非常熟悉,因为我使用它作为2年以来的主要操作系统。 我也熟悉一些基本的“linux”/ shell,networking的东西,也运行我自己的笔记本电脑之前。 所以我想我可以pipe理一个vServer。 但有几件事我不确定。 我到目前为止所做的是改变webmin和ssh的端口,并看看在apache2.conf文件(似乎是所有的权利)。 我更改了root密码,并尝试将mysql root密码更改为。 这里我得到了我的第一个问题: 我无法为mysql root用户设置任何密码。 不是每个SSH / MySQL,也不是在webmin。 我怎样才能做到这一点? 为什么有那么多mysql用户(mysql-sys,debian-sys-maint)? 我已经运行netstat打开端口,并提示它显示ssh,apache和webmin。 但是,当我用Zenmap做端口扫描时,我还看到5个(过滤的)端口(msrpc,netbios-ns,netbios-dgm,netbios-ssn,microsoft-ds)。 当我做一个udp扫描,似乎有更多的端口打开。 那会怎么样? 我的Java应用程序需要在运行时dynamic地打开udp / tcp套接字。 所以最好声明一些防火墙规则,它拒绝所有来自/出口的套接字,除了那些来自/给定程序(基本上是ssh,apache,webmin和我的java应用程序)的套接字。 如何做到这一点? 安装一个ips像snort是否有意义? 让webmin每天检查/安装更新是否足以让系统保持最新? (我想我必须手动更新Java,因为我也必须手动安装它) 还有什么我需要做的安全吗? 让我们假设我的服务器被黑客攻击,有人开始用它来做非法的事情。 我知道我对服务器负有责任,但对我来说最糟糕的后果是什么? 如果有人有时间回答我的问题或给出一些关于这个主题的链接以便进一步阅读,那将是很好的。 thx和问候
对于IDS,我计划在网关上运行Win 2008服务器,并禁用大部分angular色。 我打算阻止Internet连接,但我也想安装Snort作为IDS工作。 不过,我猜测,无论混杂的Winpcap驱动程序的Snort安装,我将无法监视防火墙阻止的端口。 我的思路是stream动链是: Internet-> Win2008上的防火墙 – > Winpcap-> Snort->内部networking 有没有办法监视防火墙将阻塞的服务(即TCP 445 SMB)? 也许通过Snort然后通过防火墙运行数据? 谢谢
我正在运行Snort和MySQL一起进行日志logging,它正在生成ENORMOUS数据集(目前事件表超过了250万,我不知道究竟有多less,因为它在使用之前也只有250万很多记忆)。 不幸的是,这个数据不再是非常有用的,因为我无法在其他地方把它拉出来(存储过程导致服务器崩溃)。 我的问题是,有没有办法为这些庞大的数据集优化MySQL,或者这超出了MySQL的技术function,我需要去Oracle,MS SQL或PostgreSQL? 我们同时拥有一个Oracle和一个MS SQL Server实例,但这两个都是关键业务生产服务器,将其中任何一个脱机或抑制其能力将是非常糟糕的消息。 有关这个问题的任何想法?