我正在尝试使用Snort检测types为NULL DNS请求。 我使用Wiresharkfind请求包的types字段: 我在McAfee上find了以下规则: alert udp any any -> any 53 (msg:"NULL request"; content:"|01 00|"; offset:2; within :4; content:"|00 00 0a 00 01|"; offset:12; within:255; threshold: type threshold, track by_src, count 10, seconds 5; sid: 5700001; rev: 1) 但是,首先这个规则不适用于我,因为它会抛出以下错误消息: ERROR: /etc/snort/rules/local.rules(7) within can't be used with itself, protected, offset, or depth 这很奇怪,因为显然与其itself结合使用, protected ……对迈克菲来说不是问题。 我正在使用Snort版本2.9.9.0 […]
我是与IDS合作的新手,如Suricata / Snort。 我目前正在尝试使用Suricata来loggingDNS请求和对我的networking上的恶意域的响应。 在我的DNS服务器上,我做了这样的话,任何请求, bad.com ,将解决为127.0.0.1 ,从而不允许我的networking上的任何人访问该网站。 我已经设置Suricata来logging所有DNS请求,但是如何过滤并缩小它,并告诉它只logging到127.0.0.1请求,并让其他所有内容都不logging? 我试图创build一个规则: alert dns any any -> 127.0.0.1 any (msg: "BLACKLISTED WEBSITE"; flow:to_client; content:"rrname";sid:2240001;rev:1;) 但是这没有用。 我需要做什么才能将DNS请求logging到某些IP? 我无法在文档或互联网上的任何其他地方find任何信息。 谢谢。
我想从我的Debian Lenny FW发送snort警报。 系统日志从防火墙发送日志消息到一个中央rsyslog。 在我的中央rsyslog,我有这样的事情: $ModLoad ommail $ActionMailSMTPServer server.company.local $ActionMailFrom [email protected] $ActionMailTo [email protected] $ActionExecOnlyOnceEveryInterval 1 $template mailSubject,"[SNORT] Alert from %hostname%" $template mailBody,"Snort message\r\nmsg='%msg%'" $ActionMailSubject mailSubject if $msg regexp 'snort\[[0-9]*\]: \[[0-9]*:[0-9]*:[0-9]*].*' then ommail:;mailBody 但是我没有收到邮件,我甚至可以用ping -s 1400这样的东西来触发snort,它logging下来的东西,但仍然没有邮件! 2010-01-08T09:25:58+00:00 Hostname snort[4429]: [1:499:4] ICMP Large ICMP Packet [Classification: Potentially Bad Traffic] [Priority: 2]: {ICMP} ip_dest -> ip_src
我必须部署一个基于Snort的入侵防御系统。 我在这个总是新手,所以任何forms的帮助,对初学者的参考将高度赞赏。 另外,snort文档讨论了Honeynet Snort Inline Toolkit,但是可用的链接返回了404.我在Honey net上检查了它,但是找不到它。 请帮忙。 提前致谢 阿希什
我一直在这个工作太久了。 我相信答案应该是显而易见的,但是… Snort手册: http ://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf在第39页(根据Acrobat Reader第40页)列出了两个日志输出:“统一输出”和“日志文件输出”我猜测前者是指“统一”的输出模式…这让我觉得答案是“不,snort不能输出检测到端口扫描到系统日志的警报”。 我一直在使用的configuration文件是: alert tcp any 80 -> any any (msg:"TestTestTest"; content: "testtesttest"; sid:123) preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ scan_type { all } \ sense_level { high } \ logfile { pscan.log } (是的,我知道很基本)。 一个简单的nmap触发输出到pscan.log 任何人都可以确认吗? 或者指出我如何做到这一点?
我试图build立一个支持snort的防火墙,当我添加QUEUE目标时,它将丢弃所有的数据包。 我已经这样做了,但是QUEUE目标不允许进一步处理数据包: -A INPUT -p tcp -m tcp –dport 22 -j ACCEPT -A INPUT -j QUEUE -A INPUT -j ACCEPT # It's not allowing anything past QUEUE, as you can see below in the count. > iptables -I INPUT -nv pkts bytes target prot opt in out source destination 6707 395K ACCEPT tcp — * […]
我已经configuration了一个带端口SPAN的Cisco 3500交换机,并将我的snort节点(fedora 13)插入其中。 我正在运行snort作为一个守护进程,并configuration了一个规则来logging所有的tcpstream量,但我只看到与snort节点的目的地的stream量。 我知道SPAN端口正在工作,并想知道是否有一个特定的选项,我需要启动snort与它来拾取所有的stream量? 还是有我在这里错过的东西? 非常感谢。
我有PFSense V 2.0-RC1(i386),我已经安装了最新版本的Snort 我已经加载了Oinkmaster的一些规则,我已经启用了所有的预处理器,并且确保了服务的启动。 当我让它坐了一会儿,然后检查我的警报和阻塞列表,没有条目。 即使我通过login到Skype进行testing(skype被列为来自P2P的规则),我也没有在日志中获得任何条目。 如果您需要进一步的信息,请让我知道…我根本无法弄清楚这一点。
我读过,如果我configuration端口跨度,我不能再使用该接口来通过正常的交通。 但是,我想监视插入到该接口的机器,用nagios .. 有谁知道一个解决方法? 谢谢
我只是在Fedora 20上安装了snort-2.9.7.0,运行时出现错误: % snort -c /etc/snort/snort.conf –dump-dynamic-rules=/tmp Running in Rule Dump mode –== Initializing Snort ==– Initializing Output Plugins! Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file "/etc/snort/snort.conf" PortVar 'HTTP_PORTS' defined : [ 80:81 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988 7000:7001 7144:7145 7510 […]