我想防止对我的nginx服务器的攻击。 如何通过snort将请求代理到nginx服务器。 NFQueue的是一个解决scheme。我能够传递数据包snort使用以下规则 sudo snort -Q –daq nfq –daq-var –daq-var queue=1 -c /etc/snort/snort.conf 现在我已经创build了队列 sudo /usr/sbin/iptables -t nat -I PREROUTING -j NFQUEUE –queue-num 1 sudo /usr/sbin/iptables -I FORWARD -j NFQUEUE –queue-num 1 这是足够的,否则我们需要做一些除此之外的其他事情。 Nginx运行在与snort相同的系统中。
我在我的虚拟机上安装了Snort IDS和syslog-ng,我想用syslog-ng把我的日志转发到另一个SecurityOnion的vm。 所以我想知道可以syslog-ng将日志转发到SecurityOnion中的ELSA? 任何帮助将是伟大的。 谢谢
我有一个暴露在互联网上的服务器,我想提供一些针对DDOS攻击的保护。 目前,我正在考虑使用fail2ban和/或snort。 我知道他们有不同的工作方式。 据我所知,Fail2Ban监视日志文件,以确定入侵和snort监视传入的包。 我应该同时使用吗? 仅仅使用其中一个就足够了? 什么function是唯一的,但不是其他的? 我所关心的是性能。 snort可能会减慢我们的networking吗?
我正在编写一个严格的snort规则parsing器,我想适应stream行插件的snort规则。 该文档指定任何操作/types都是可能的,因为它们可以由插件定义。 不过,我想列出一些已知的行动,以便向用户发出警告。 目前,我知道下面的snort动作: alert log pass activate dynamic drop sdrop reject 有没有其他的自定义操作,你使用或知道?
我有一个pfSense框充当我的公共路由器和状态防火墙。 有1个WAN接口和几个使用NAT后面的私有IP的LAN接口。 我期望在WAN接口上看到使用Snort的portscans或各种东西。 我不希望在其中一个LAN接口上看到这个SNORT警报。 Attempted Information Leak PSNG_UDP_PORTSCAN SRC: 165.98.148.2 (some Nicaraguan IP) DST: 192.168.5.15 (a linux file sever on the LAN) 我没有端口转发到192.168.5.15。 实际上,pfSense盒子上的任何东西都不应该是转发/路由/ NATing / PATING任何东西到内部地址。 我可以理解,如果我的内部机器正在与尼加拉瓜的IP进行通信,但是世界上的UDP数据报如何从WAN接口到LAN接口进行转发?
我试图设置snort作为一个IDS,在一台也可以作为路由器的debian机器上运行。 理想情况下,我想以这种方式设置snort,以便我不必购买额外的networking适配器,只是为了让它监听debian机器已经处理的stream量。 话虽如此,从接口镜像stream量,然后将镜像stream量发送到snort最好的方法是什么? 或者你会build议我沿着不同的路线走吗? 我以为桥可能可以工作,但我不知道这是否是正确的解决scheme,任何帮助将不胜感激,谢谢!
我开始将我的snortlogging从alert_syslog迁移到unified2使用unified2作为处理器。 在某些情况下,我有多个在同一系统上运行的snort实例。 由于我历史上使用系统日志,它处理多个日志input没有问题,但是切换到统一2我关心写冲突。 目前,我为每个实例使用相同的snort.conf ,并在/etc/sysconfig/snortpipe理单独的实例。 主要是为了简化configuration,部分是为了开发时间,我希望能够维护相同的snort.conf 。 当然,这意味着将所有实例写入相同的统一日志文件。 我担心写入冲突,因为多个进程试图写入同一个文件。 这是一个已知的安全方法与snort? unified2输出处理器使用的写入方法是否安全? 任何人都可以通过这样评论总质子逆转的可能性吗?
我正在使用snort-2.9.3.1输出统一的2日志格式,并使用barnyard2-1.9来处理警报,并将它们发送到syslog和数据库。 在某些情况下,我有多个在同一台主机上运行的snort实例,并希望单独logging它们。 有没有一种方法来configurationbarnyard2,这取决于input文件的名称,它会采取不同的行动。 就像是, [snortmain_unified.log] output alert_syslog: LOG_AUTH LOG_ALERT [snortsecondary_unified.log output alert_syslog: LOG_LOCAL1 LOG_ERR 我希望避免运行barnyard2的多个实例。
大约一个月前,在我的一台服务器上,我开始接收来自世界各地的IP地址的随机数据包。 所以我做了这个聪明的事情,并停止推迟安装IDS。 这个IDS是Snort和SnortSam附带的ClearOS网关。 我使它和所有的分类。 “networking扫描”分类就在那里,这意味着它应该检测端口扫描等 共有4个端口打开,其中两个转发到我正在谈论的服务器。 这些端口是3724和8085,所以在端口扫描中不易被检测到。 然而,检查这个服务器的一些日志,我发现攻击正在恢复。 我find了这个 … Accepting connection from '75.166.155.122' [Auth] got unknown packet from '75.166.155.122' Accepting connection from '98.164.154.93' [Auth] got unknown packet from '98.164.154.93' Ping MySQL to keep connection alive Accepting connection from '70.241.195.129' [Auth] got unknown packet from '70.241.195.129' Accepting connection from '67.182.229.169' [Auth] got unknown packet from […]
我能够发送Snort警报到我的远程系统日志服务器,但我无法看到完整的警报消息; 我只看到标题,来源和目标IP等基本信息。 我特别感兴趣的是接收XREF(CVE,bugtraq等)字段。 我正在启动syslog as- snort -c /etc/snort/snort.conf 有没有人能够做到这一点?