问题标签 [snort]

我必须部署一个基于 Snort 的入侵防御系统。

我在这方面完全是新手，所以任何形式的帮助，初学者的参考将不胜感激。

snort 文档也谈到了 Honeynet Snort Inline Toolkit，但它的可用链接返回 404。我在 Honey net 上检查过，但找不到。

我还在文档中读到自定义插件也可以为 snort 编写，是否有任何 java 库可以做到这一点？

请帮忙。

提前致谢

阿什什

我正在尝试为 snort 创建一个规则，以便在用户尝试访问其中包含“恶意软件”一词​​的页面时基本上记录任何数据包。这就是我所拥有的，只是要求一些指导。因此，基本上，一旦网页包含该短语，它就会显示警报。

我想知道，是否有用于将字符串模式转换为 PCRE 正则表达式模式的转换库。

示例模式：

应用程序/ms-tnef ARKADMIN_GET_ 34 ^MAIL FROM|3a| ?

2|

提前致谢。

使用 pyparsing 模块解析 Snort 日志时出现问题。

问题在于分离 Snort 日志（它具有多行条目，由空行分隔）并让 pyparsing 将每个条目解析为一个整体，而不是逐行读取并期望语法与每一行一起工作（显然， 它不是。）

我尝试将每个块转换为临时字符串，去掉每个块内的换行符，但它拒绝正确处理。我可能完全走错了路，但我不这么认为（类似的形式非常适用于 syslog 类型的日志，但这些是单行条目，因此适合您的基本文件迭代器/行处理）

这是一个日志示例和我到目前为止的代码：

和更新的代码：

非常感谢任何帮助、指针、RTFM、您做错了等。

我一直在使用 snort-IDS。我在 /var/log/snort 有一些日志文件。这些文件的类型为 snort.log.xxxx。这个文件怎么看？？？

我正在编写一个 Perl 程序来读取Snort日志文件。我使用 VMware 运行 Fedora 14。

使用命令时，/usr/loca/bin/snort -r /var/log/snort/snort.log.1299686068我得到结果：

目标和源IP地址和更多信息都列出了，但是当我使用Perl编写程序读取它们时，列出的内容是未知符号。

日志文件不是受 Snort 保护还是有其他问题？它并不是 100% 显示与第一个示例相同的结果，但至少清楚地列出了所有内容。

我的代码是：

任何人都可以给我一些关于这段代码的意见吗？

由于日志文件是二进制格式，所以我尝试像这样修改代码

这段代码似乎有一些语法错误..不可能结合管道和文件尾功能？函数不是file::tail已经包含open()方法了吗？

第二个问题是关于$file = File::Tail -> new(<Filename>); <Filename>似乎必须是单个文件并且必须指向特定文件名...如果我有 3 个文件：snort.log.1301090101并且snort.log.1301090102在snort.log.1301090102同一目录中，则无法使用单个File::Tail函数来读取所有文件或其中的文件目录？

我用这个命令 /usr/loca/bin/snort -ieth0 -l /var/log/snort 捕获了流量，因为在后面我从来没有放 -b 所以它不是二进制文件..但是当我写一个程序来读取日志文件似乎显示所有未知单词......所以这意味着它仍然是一个二进制文件仪式......任何其他指定它的方法必须是 ASCII 格式？是否需要在 snort.conf 上进行配置？

有哪些用于进行 TCP 重组的好库？我有一些 pcap 文件（太大而无法使用 wireshark 处理），我想做 TCP 重组。libnids 的开发似乎已经停止。我想知道是否有人可以给

我目前在 Fedora 14 上安装了 Snort 2.9.0.4 。Snort IDS 模式运行良好，我想从 Snort IDS 实现一个 IPS。我对 linux 环境完全陌生。