0

您好,我的 Snort 配置有问题。

我用流浪主机建立了一个虚拟网络,其中一台主机运行 Snort(使用 Barnyard2),Snort 主机处于混杂模式,因此我可以读取 192.168.10.*/24 中的所有数据包。PING 一切正常,我在 /etc/snort/rules/local.rules 中有一条规则:

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

此规则映射正确,我可以看到任何主机之间的每个 PING,barnyard2 读取输出并将其存储在数据库中。

问题是当我尝试添加另一个规则时,我尝试记录 SSH 和 NMAP,例如:

alert tcp any any -> any any (sid:1000005; gid:1; flow:stateless; ack:0; flags:S; ttl:>220; priority:1; msg:"nmap scan"; classtype:network-scan; rev:1;)
alert tcp any any -> $HOME_NET 22 (msg:"Potential SSH Brute Force Attack"; flow:to_server; flags:S; threshold:type threshold, track by_src, count 3, seconds 60; classtype:attempted-dos; sid:2001219; rev:4; resp:rst_all; )

我看不到使用这两个规则的任何警报或日志记录。

我还使用 PulledPork 来获取更新的规则,并尝试IDSwakeup来检查它们是否有效,但显然什么也没发生。

配置文件 /etc/snort/snort.conf 似乎配置正确(没有注释):

vagrant@vagrant-ubuntu-trusty-64:~$ cat /etc/snort/snort.conf | grep rules
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
dynamicdetection directory /usr/local/lib/snort_dynamicrules
   whitelist $WHITE_LIST_PATH/white_list.rules, \
   blacklist $BLACK_LIST_PATH/black_list.rules 
include $RULE_PATH/local.rules
include $RULE_PATH/snort.rules

并且规则文件似乎在正确的位置:

vagrant@vagrant-ubuntu-trusty-64:~$ tree /etc/snort/rules/
/etc/snort/rules/
├── black_list.rules
├── iplists
│   └── default.blacklist
├── iplistsIPRVersion.dat
├── local.rules
├── snort.rules
├── test.rules
└── white_list.rules

我还尝试清空 snort.rules 并仅保留 local.rules 以了解它是否由于硬件限制而不起作用但没有任何改变。

我不知道这是否是由于: - 错误的配置 - 错误的规则 - 错误的攻​​击 - 硬件要求

你能帮助我吗?:)

4

1 回答 1

0

首先要做的是检查除了 Ping 之外的其他任何东西是否正在通过接口和端口进行交易,snort 侦听。

为此,我建议您安装工具 ngrep,例如检查 HTTP 请求。为此,请通过 'ngrep -ed <interface>' "^GET.*" 调用它,或者如果您不希望 HTTP 流量寻找其他重要的东西。

于 2015-08-14T14:31:40.243 回答