问题标签 [snort]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
785 浏览

security - Snort TCP 标志

如您所知,TCP 有 9 个标志。但正如您所见, snort的TCP 标志是文件中定义的 8 位sf_snort_packet.h

预定义的标志也必须是 9 位:

现在我很困惑是否要检查TCP_SYN标志;怎么做。我已经使用了它,但它没有返回正确的答案:

有人可以指导我解决这个问题吗?谢谢你。

0 投票
1 回答
7747 浏览

security - Snort 规则检测 http 泛洪

是否可以使用 Snort 检测有效的重复 HTTP GET 请求?例如。客户端机器正在发送 HTTP 请求以淹没服务器。

0 投票
1 回答
1054 浏览

logging - 如何让 snort 停止向 auth.log 发出警报?

我似乎无法停止记录到 syslog(特别是 auth.log)。据我所知,它似乎表现得好像我正在使用-s参数或output alert_syslog: LOG_AUTH LOG_ALERT在配置中运行。

我正在运行用 编译的 snort 2.9.7.0 ./configure --enable-reload,除非我缺少一些隐藏选项,否则我会告诉它以统一 2 的形式登录到 merge.log,而不是其他地方。

这是我看到的一些日志

这些警报中的大多数都是垃圾,我稍后会过滤掉,警报本身不会打扰我,让我烦恼的是他们要去 auth.log 并且我不知道为什么。

0 投票
1 回答
2785 浏览

vagrant - Snort 不检测除 ping 之外的规则

您好,我的 Snort 配置有问题。

我用流浪主机建立了一个虚拟网络,其中一台主机运行 Snort(使用 Barnyard2),Snort 主机处于混杂模式,因此我可以读取 192.168.10.*/24 中的所有数据包。PING 一切正常,我在 /etc/snort/rules/local.rules 中有一条规则:

此规则映射正确,我可以看到任何主机之间的每个 PING,barnyard2 读取输出并将其存储在数据库中。

问题是当我尝试添加另一个规则时,我尝试记录 SSH 和 NMAP,例如:

我看不到使用这两个规则的任何警报或日志记录。

我还使用 PulledPork 来获取更新的规则,并尝试IDSwakeup来检查它们是否有效,但显然什么也没发生。

配置文件 /etc/snort/snort.conf 似乎配置正确(没有注释):

并且规则文件似乎在正确的位置:

我还尝试清空 snort.rules 并仅保留 local.rules 以了解它是否由于硬件限制而不起作用但没有任何改变。

我不知道这是否是由于: - 错误的配置 - 错误的规则 - 错误的攻​​击 - 硬件要求

你能帮助我吗?:)

0 投票
1 回答
1166 浏览

snort - 翼 ftp 服务器认证命令执行的 Snort 规则

嗨,我正在为一个大学项目编写一些自定义规则,我想知道是否有人可以检查我的规则是否存在此漏洞; http://www.exploit-db.com/exploits/34517/

这是我的规则;

alert tcp any any -> any 5466 \ (msg: "FTP command execution"; content: "/admin lua script html"; content: "POST"; http_method; content: "os execute";)

修订规则;alert tcp any any -> any 5466\ (msg: "FTP command execution"; content:"/admin_lua_script.html"; content:"POST"; http_method; content: "os execute";)

0 投票
1 回答
520 浏览

windows - 使用 snort for windows,连接到远程机器

我正在尝试在 Windows 中运行 snort,但我可以使用远程(rpcap)而不是使用 -i eth0。我在 vmware 中使用 Windows 7

这是我运行的命令 c:\Snort\bin>snort -cc:\Snort\etc\snort.conf -lc:\Snort\log --daq pcap --daq-mode inline -i rpcap://[xx .xxx.xxx.xx]:2002/\Device\NPF_{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx}

我在错误上运行:pcap 不支持内联

运行命令 snort --daq-list; 结果是可用的 DAQ 模块:pcap(v3): readback live multi unpriv

请帮忙,我如何连接并收集数据到我的远程机器。

非常感谢!

0 投票
0 回答
485 浏览

snort - Snort:传感器从 barnyard2 获取错误数据

我终于拥有了运行 snort 所需的一切:

  • 拉猪肉以更新 snort 规则
  • tcl 没有线程和所有必需的包
    • mysqltcl
    • Tclx
    • 沙1
    • 总热量
    • ETC..
  • sguil 客户端和服务器
  • mysql服务器
  • 我正在使用 snort_agent.tcl
  • 谷仓2

我还使用预处理器 sfportscan 设置了我的 snort.conf:

这是我运行 snort 的输出,我已将其精简为我感兴趣的部分

这是我执行端口扫描的方式

现在我的问题是在传感器级别/日志级别。这就是我在 sensor_agent.tcl 控制台中看到的

任何帮助将不胜感激!我只是想开始,除了端口扫描之外,我真的没有任何合理的测试,无论如何我都想进行设置。

0 投票
1 回答
668 浏览

user-interface - 当流量与 snort 规则匹配时,如何立即生成弹出窗口

我在我的桌面上使用 snort,我想在触发规则时看到一个弹出窗口。我在 local.rules 中编写了自己的规则。我不使用任何电子邮件系统,所以请忽略邮件选项。日志位于 /var/log/snort/alerts 文件中。有什么办法可以成功。当向这个文件写入警报时,我想看到一个图形警告。我尝试编写一个检查警报文件的 bash 脚本,并且当哈希更改时,使用 notify-send 弹出最后 10 行,但我不能达到那个..请你帮我吗?问候

0 投票
1 回答
821 浏览

windows-server-2012 - 下载 snort 规则

我已经从网站下载了 snort 规则,但是我没有得到一个压缩文件夹,而是得到了一个 Windows 无法打开的文件。我还尝试使用 7zip 来提取文件,无论它是单个文件,但它只是自我复制。

有谁知道我该如何解决这个问题或获取 snort 规则压缩文件夹?

0 投票
3 回答
3828 浏览

python - 在 Snort 警报上执行脚本

我目前正在尝试使用 Raspberry Pi。我正在运行 Snort,它是一种数据包检测软件。在 Snort 发出警报的情况下,我想执行一个(Python)脚本。

Snort 在树莓派上执行如下:

我创建了一个 python 脚本,当被调用时,它控制树莓派的 GPIO 引脚。把它更多地放在上下文中;当树莓派收到 ping/ICMP 数据包时,红色警报灯会亮起并由同一设备控制。

snort 规则当前有效,当 ICMP 数据包到达时,会向控制台输出警报。但是我不知道如何让 snort 执行 python 脚本