我们已经通过Snort触发了一些警报: “政策Mozilla多个产品HTML hrefshell尝试” 我正在努力寻找任何有关此警报的信息,有没有人有任何想法可能意味着什么? 提前致谢
我从源代码安装了snort-2.9.7,并以IDS身份启动: % snort -devQ -A console -c /etc/snort/snort.conf -i eth0:eth1 Enabling inline operation Running in IDS mode … configuration文件是非常微不足道的: # var RULE_PATH rules # Set up the external network addresses. Leave as "any" in most situations ipvar EXTERNAL_NET any # Setup the network addresses you are protecting ipvar HOME_NET [10.10.10.0/24] config daq: afpacket config daq_mode: […]
我们有一个pfSense路由器运行包检查。 我们的日志填满了这些请求: SURICATA UDPv4 invalid checksum 研究表明,我们应该做到以下几点: Disable the stream-events.rules via SID Mgmt. (Yeah, I mean the whole category. Zillions of FPs.) 但是,我无法在类别列表中findstream-events.rules。 我们正在使用snort相关规则运行pfSense。
这在Snort中是一个常见的问题,但是我不确定规则为什么触发。 以下规则来自Debian存储库。 显然它被devise为在5060端口上有超过300次命中时触发,并且如果它继续的话每60秒只会提醒一次。 /etc/snort/rules/community-sip.rules(添加空白,删除其他规则): … alert ip any any -> any 5060 ( msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160; rev:2; ) … http://manual.snort.org/node35.html 但规则似乎触发了什么与5060端口无关的东西。 例如,这是一个提醒: 例如, [**] [1:100000160:2] COMMUNITY SIP TCP/IP message flooding directed to SIP proxy [**] [Classification: Attempted Denial […]
我想知道是否有人可以指示我如何设置一个基本的Linux或Windows主机,在eth0上接收入站的Internetstream量,通过Snort运行,然后通过eth1传输stream量到无线路由器。 我主要关心的是将入站stream量设置为通过系统进行路由,然后再到无线路由器。 我确信有这方面的文件,但我还没有find任何东西。
想要在几个FreeBSD防火墙上部署IDS / IPS,我很好奇snort和suricata之间的区别。 我知道Suricata是multithreading的,但是在规则处理和其他方面他们是如何工作的,是否有什么真正的区别可以影响我select其他的呢?
我没有太多的工作与SNORT或做了太多的研究,但这听起来有可能。 如果我设置一个服务器,并运行snort。 那么是否有可能将所有的stream量通过它像一个防火墙路由到我的网站? 这是否允许我有一个中心点来过滤掉所有不好的stream量? 至于转发去,我应该使用GRE隧道还是有更好的方法? 如果可能,我想尽量保持客户的知识产权。 因此,我可以运行HA Proxy / nGinx作为转发网站stream量的方式,将客户端IP保留在数据包中,而不是以每个客户端作为代理服务器的IP。
我设置了三台运行Ubuntu的虚拟机 – 一台服务器,一台客户机和一台网关。 我负责在网关上设置Snort来监视从客户端到服务器的“攻击”。 Snort应该将日志文件发送到我在服务器上设置的rsyslog服务器。 我无法获得这些日志发送。 在snort.conf文件中,我设置了: output alert_syslog: LOG_AUTH LOG_ALERT 我刷了我的iptables,并打开所有的testing目的(nmap显示514确实是打开的)。 我编辑了网关上的rsyslog.conf文件,并添加了: *.* @192.168.50.5 在服务器上的rsyslog.conf文件中,我添加了: *.* /var/log/snort.log 并在以下两个方面取消注释: $ModLoad imudp.so $UDPServerRun 514 当我运行(eth2 =客户端)时: snort -A console -i eth2 -c /etc/snort/snort.conf 并从客户端ping服务器(我有一个Snort规则捕获ICMP),日志文件被创build在/var/log/snort/snort.log.xxxxxxxxxx网关。 虽然没有显示在服务器上。 在Wireshark上观察数据包时,我启动Snort时收到两条Syslog消息,而当我退出时(^ C),还收到两条Syslog消息。 AUTHPRIV.INFO只是说“为root用户打开会话”和“为root用户closures会话”: 为了logging,我试图按照这个教程在这里: http://books.google.com/books?id=TPXusCxyKXAC&pg=PA115&lpg=PA115&dq=log+local0+snort.conf&source=bl&ots=PeMZAPE7DF&sig=Q4R5rkbvDZjfwoCOGL7Gy-1gHho&hl=en&sa=X&ei=gYw_VL3iBcHjoAS0j4KQBw&ved=0CFUQ6AEwCQ#v=onepage&q&f=false 任何人有任何想法是怎么回事? 感谢您的任何build议。
我有snort监听思科交换机的SPAN端口。 我希望能够在我的networking服务器上添加一个iptables DROP规则来针对特定的snort警报,但是很难find如何做到这一点。 我希望阻止实时发生,而不是通过cron启动脚本来周期性地拖动snort日志。 我在Seclists上find了一个例子 ,它使用syslog-ng来运行一个shell脚本,但是它必须是一个早期版本的syslog-ng,因为当我重新启动syslog-ng时,我得到了一个关于不赞成使用的语法的错误。 我对syslog-ngfilter知之甚less,所以我们会对此做更多的研究,因为它看起来很有希望,但是我认为如果有更好的方法,我会提出这个问题。 当Snort警报通过我的snort盒子的SPAN端口时,运行shell脚本的好方法是什么?
我在Centos 5上运行KVM。我有一个客户端操作系统,Ubuntu 10.04,上面安装了Snort 2.9。 客户操作系统有(2)nic,eth0和eth1。 一个nic(eth0)configuration了一个IP,可以从主机操作系统所在的networking访问。 第二个NIC没有IP,用于接收来自Cisco交换机的镜像stream量。 在主机操作系统端,br1上的tcpdump(用作运行Snort的客户机操作系统的网桥接口)会看到来自交换机的镜像stream量。 但是,guest虚拟机操作系统的eth1上运行的tcpdump只能看到来自交换机的广播数据包或cdp数据包。 客户操作系统的eth0上运行的tcpdump会显示来自交换机的镜像stream量。 有任何想法吗?