我从Ubuntu库和Oinkmaster一起安装snort 2.9.2.3。 我没有运行LAMP只是嗅探loggingPCAP和警报日志文件。
开箱即用的安装snort工作。 对服务器运行nmap扫描logging在/var/log/snort/alert 。 我不知道这个规则有多老,所以我更新了Oinkmaster。
在我更新到最新的VRT规则之后,snort将不再启动。 所以我在snort.conf上做了一个sdiff,这个sdiff和我现有的文件的最新规则一起发现了一些差异,最后对新的snort.conf中的目录位置进行了一些调整并使用它。
现在snort会启动,但是不再对服务器运行nmap扫描。 我查看了系统日志,发现这些看起来相关的错误。
Sep 18 18:07:43 svr08 snort[3492]: Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log Sep 18 18:07:43 svr08 snort[3492]: Verifying Preprocessor Configurations! Sep 18 18:07:43 svr08 snort[3492]: WARNING: 'ignore_any_rules' option for Stream5 UDP disabled because of UDP rule with flow or flowbits option. Sep 18 18:07:43 svr08 snort[3492]: ICMP tracking disabled, no ICMP sessions allocated Sep 18 18:07:43 svr08 snort[3492]: IP tracking disabled, no IP sessions allocated Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.msproducer' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.mov' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.mp4' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.cyb' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.aom' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.rat' is set but not ever checked. Sep 18 18:07:43 svr08 snort[3492]: WARNING: flowbits key 'file.machobe' is set but not ever checked.
….. LOTS更多flowbits警告,然后
215 out of 1024 flowbits in use.
我以前没有用过snort,一直在努力寻找任何初学者的文档,甚至是一个论坛,如果有人知道任何我会感激。
此外,如果有人知道最近怎么了snort现在将不胜感激。