即使跑完了 iptables -A INPUT -p icmp -m icmp –icmp-type 3 -j DROP 我一直在tcpdump上获取ICMPtypes3的代码13数据包。 当我运行tcpdump icmp ,我收到如下消息: 19:41:31.923630 IP NAMESOURCE > MY_NAME: ICMP net IP_SOURCE unreachable, length 76 我的问题是,我怎样才能摆脱这个数据包? 顺便说一句,我从多个来源得到这个数据包,这导致我认为这可能是某种(D)DoS。 但我不确定我在这个angular色上扮演着什么angular色。 此外,snort不断发出警报: [**] [1:485:4] ICMP Destination Unreachable Communication Administratively Prohibited [**] [Classification: Misc activity] [Priority: 3] 05/02-19:44:20.171298 SOURCE_IP -> MY_IP ICMP TTL:238 TOS:0x0 ID:13584 IpLen:20 DgmLen:56 […]
原因是为了把所有的软件包都保存在我的IDS中,所以IDS不会成为单一的故障点。 如果路由我所有的stream量到我的IDS和从我的IDS到互联网,那么如果IDS崩溃,我的整个networking就会停止运转,我们所有的24/7全天候服务……不是一个好主意。 任何虽然? 谢谢
我从Ubuntu库和Oinkmaster一起安装snort 2.9.2.3。 我没有运行LAMP只是嗅探loggingPCAP和警报日志文件。 开箱即用的安装snort工作。 对服务器运行nmap扫描logging在/var/log/snort/alert 。 我不知道这个规则有多老,所以我更新了Oinkmaster。 在我更新到最新的VRT规则之后,snort将不再启动。 所以我在snort.conf上做了一个sdiff,这个sdiff和我现有的文件的最新规则一起发现了一些差异,最后对新的snort.conf中的目录位置进行了一些调整并使用它。 现在snort会启动,但是不再对服务器运行nmap扫描。 我查看了系统日志,发现这些看起来相关的错误。 Sep 18 18:07:43 svr08 snort[3492]: Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log Sep 18 18:07:43 svr08 snort[3492]: Verifying Preprocessor Configurations! Sep 18 18:07:43 svr08 snort[3492]: WARNING: 'ignore_any_rules' option for Stream5 UDP disabled because of UDP rule with flow or flowbits option. Sep 18 18:07:43 svr08 snort[3492]: ICMP […]
在log_syslog_full操作模式设置完成后,您会看到下面的输出。 有人可以向我解释大胆的部分是什么? 我一直在search,找不到解释新的文件输出格式的任何文件。 | [SNORTIDS[LOG]: [IDS1] ] || 2012-11-28 20:31:31.747+-06 1 [1:2803567:3] ETPRO POLICY Suspicious User-Agent (LuaSocket) || trojan-activity || 6 69.2.42.86 64.129.104.173 **5 0 0 146 38060 0 0 3635 0** || 41848 80 **4082109343 3023118530 8 0 24 32768 39439 0** || **160 00000C07AC050023EBABC57A08004500009294AC0000FF060E3345022A56408168ADA3780050F3500B9FB43120C2801880009A0F00000101080A3198E2CD00000000686F73743A20757064617465732E69726F6E706F72742E636F6D0D0A757365722D6167656E743A204C7561536F636B657420322E300D0A74653A20747261696C6572730D0A636F6E6E656374696F6E3A20636C6F73652C2054450D0A0D0A** ||
我试图debugging一些失败的HTTP POST请求包含大file upload(〜500 MB)。 最终用户正在接收奇怪的HTTP响应,这些响应没有logging在varnish的varnishncsa工具,varnish的varnish日志工具或任何内部web服务器日志中。 由于我不能重复的问题(这可能是一个ISP的代理的结果)我试图find一些选项logging整个请求(由URL标识),并稍后在开发或登台服务器上重播。 看起来Snort可能是解决这个问题的最好方法,因为它允许我们在传入的数据包被解释(错误)之前logging下来,但是我担心它可能会引入显着的延迟,内存开销或其他不可预见的问题有这么大的要求 我们需要做的所有匹配都将基于URL,因此只有第一个kb左右的数据实际上需要过滤,但是我们需要剩余的请求才能重播。 我在snort文档中查看readme.stream5,这使得这看起来可能和合理,但是文档和现实世界之间的差距可能相当大。 Snort是否适合这个任务? 有什么优化,我可以适用于避免过多的内存,磁盘或处理器的开销? 如果你不相信Snort很适合这个任务,你会build议什么? 服务器安装全球分布在运行最近的Linux设置的无头盒子上,所以任何解决scheme都必须是脚本化的,自动化的,并且能够通过某种方式向我报告它已经捕获了请求。
我们已经inheritance了一个旧的Web应用程序,需要扩展一些日志loggingfunction以达到合规目的。 不幸的是,我们不能改变应用程序。 应用程序收到XML POST请求。 我们需要捕获几个特定的XML值并将它们logging在一个单独的文件中。 所以这涉及到XMLparsing和一些自定义代码。 我们正在考虑在服务器前放置一种代理。 是否有代理,允许自定义请求身体处理没有低级别的编程? 或者IDS更适合这个目的?
根据manual.snort.org,TCP Portscans从一台计算机转到另一台计算机,但是当您在snort / snorby中查看一个tcp portscan警报时,您可以看到: 一方面:资料来源:136.238.4.165目的地:10.19.0.5 另一方面:Priority.Count:.5.Connection.Count:.18.IP.Count:.1。 Scanner.IP.Range:.10.10.28.88:136.238.78.44 .Port / Proto.Count:.6.Port / Proto.Range:.199:58891。 所以,一方面我们有源和目的字段,那就是机器10.19.0.5是从136.238.4.165扫描的。 另一方面,扫描仪IP范围说,从10.10.28.88到136.238.78.44扫描到10.19.0.5 我应该如何理解这些信息? 哪个设备开始扫描?
我刚开始进入networking安全,防火墙等,请原谅我这个基本问题。 我查看了IPtables并获得了很好的结果(远不及成为专家),但是现在理解数据包stream,挂钩以及某种程度上的libnetfilter_queue库。 刚开始看snort,并认为我可以用iptables来做大部分的snort(最坏的情况是使用一些libnetfilter_queue C附加组件)。 我的观察是否正确?
即时通讯试图testingIDS系统的规避。 我拿起Snort IDS。 我已经制作了几个分片数据包的场景,并将这些碎片数据包发送到目标地址。 所有这些制作的场景都以某种方式破坏了RFC规则。 所以即时通讯试图让frag3预处理器模块运行触发警报。 但我被困住了。 当我在local.rules中定义我自己的规则并发送这些数据包时,我可以看到Snort IDS触发的警报。 问题是这些规则只是设置来testing,如果Snort的工作。 真正的问题是触发frag3警报,看到IDS规则bahaviour。 但我真的不知道如何configuration它,或如何让这些警报触发。 我期待得到至less这两个警报,但是,我不知道如何。 8 Fragmentation overlap 10 Bogus fragmentation packet. Possible BSD attack 这是我的frag3 snort.conf代码: preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: snort.conf文件中的预处理器模块的方法是: var PREPROC_RULE_PATH c:\Snort\preproc_rules 有什么build议? 谢谢你的时间。 MG
用barnyard2build立了一个snort box,运行到下面的错误。 有人可以帮忙吗? $Starting Snort Output Processor (barnyard2): ./barnyard2: 35: ./barnyard2: barnyard2: not found /etc/init.d/barnyard2文件 #!/bin/sh # # Init file for Barnyard2 # # # chkconfig: 2345 40 60 # description: Barnyard2 is an output processor for snort. # # processname: barnyard2 # config: /etc/sysconfig/barnyard2 # config: /etc/snort/barnyard.conf # pidfile: /var/lock/subsys/barnyard2.pid [ -x /usr/sbin/snort ] […]