问题标签 [ngrep]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
snort - Snort 间歇性地在数据包上丢失警报
我已经设置了一个 snort 服务器来检测我网络上内部机器之间的所有 SSH 连接。
alert tcp $HOME_NET any -> $HOME_NET any ( msg:"SSH: Internal <-> Internal Connection Detected"; content:"SSH-",nocase; sid:13586; rev:5; )
我的规则很基本。我正在所有数据包中简单地搜索“SSH-”。我知道它可能会出现误报,我不想在这篇文章中解决这个问题。
我的问题是在我进行测试时它没有对所有 SSH 连接发出警报。
但是,当使用 ngrep 时,我可以看到它捕获了内部到内部的每个 ssh 连接。
ngrep -d $int -q -t '(SSH-)'
所以看起来 100% 的镜像数据包确实会到达 snort 服务器。但是,在进行测试时,snort 的警报日志中缺少大约 30% 的信息。