几天前我发布了一个关于 portscan 日志的问题，但是这是一个单独的问题，涉及新的 portscan 日志。

时间：04/13-15:29:41.660134 event_id：6042 xxxx -> xxxx(portscan) UDP Filtered Portscan Priority Count: 0 Connection Count: 200 IP Count: 66 Scanner IP Range:xxxx:xxxx Port/Proto Count: 32 Port /原型范围：137:17500

我试图从这个日志中确定 4 件事，源 IP、目标 IP、源端口、目标端口。

我想要的其他一些选项，但如有必要，将是 portscan 的类型和此扫描的标志。

再次感谢您提供的任何帮助。

我在某处读到无法为 shellcode 指定要排除的多个端口，对吗？如果不是，以下是否正确？

您要在其上查找 SHELLCODE 的端口列表。

端口变量 SHELLCODE_PORTS ![21,25,80,143,587,8889]

我正在使用 snort 2905

有没有办法将 Snort 移植到 Android 操作系统？我已经将 libpcap 移植到 Android 上，并制作了一些简单的本地嗅探器，它们运行良好。为此，我使用了 NDK 开发套件，它为您提供了一些用于将 C 程序交叉编译到 ARM 架构的工具。

是否可以为 Snort 做到这一点。我知道 Snort 是一个很大的项目，它包含许多源文件并使用了许多模块，例如 Libpcap、PCRE、Libdnet、Barnyard2、DAQ。我想知道是否有办法为 Android 构建此代码。例如，通过静态链接所有这些模块。此外，另一个潜在的问题可能是 Android 使用 libc 的子集（仿生），所以可能是一些基本功能不可用..

以前有人做过吗？或者，有人能给我一些关于如何开始的帮助吗？

创建 snort make 文件时出现此错误消息？

/usr/bin/ld: /usr/local/lib/libpcre.a(pcre_compile.o): relocation R_X86_64_32S against >`.rodata' 在制作共享对象时不能使用；使用 -fPIC
/usr/local/lib/libpcre.a 重新编译：无法读取符号：错误值
collect2：ld 返回 1 退出状态

我怎么能摆脱这个？

我知道使用 snort 和 wireshark 检测数据包。现在我的问题是如何使用 snort 阻止这个检测到的数据包。并告诉我如何创建自定义规则 snort？

我有很大的麻烦请帮助我。

提前致谢

我想从命令行下载 SnortRules，但是当我使用这种格式时：我使用 Win Xp

在 Opensuse 中我有 apache、php 和 curl 扩展，但在 Xp 中我什么都没有。我无法访问互联网在 Opensuse 中，我只能通过 WinXp 访问

它告诉我：

问题是什么？

我输入了这个：

我在入侵检测系统上进行了很多搜索，但现在我很困惑，现在我应该从哪里开始。我不知道是否存在任何开源可重用代码，但我想用神经网络制作入侵检测和预防系统。

从开发人员的角度来看，我的问题是我应该从哪里开始。请指导我这个话题。

此外，我目前正在工作和分析 KDD CUP 1999 数据集。并寻找更多这样的数据集。

请告诉我哪些是构建入侵检测系统的最佳算法。

感谢任何回复或阅读的人。请指导我。提前致谢。

我知道如何使用编写的动态规则配置和运行 snort。

我知道一些处理阶段，如解码、预处理器、动态规则匹配、输出插件等。

我使用 snort 作为内联模式。我想知道从数据包到 snort 以及数据包被传递到应用程序的完整处理流程。

任何人都可以建议我一个链接，如其完整的流程描述吗？

谢谢

我正在使用“snort_inline”，并使用 iptables 将所有数据包转发到 QUEUE，以便 snort_inline 可以根据规则提取它们进行检查和丢弃/警报。但是当以内联模式运行时，“Snort”是否也会接收来自 iptables 的数据包？在阻塞数据包方面，Snort 和 Snort_inline 有什么区别？我观察到，当我在不使用 iptables 的情况下运行“Snort”时，不知何故我的数据包被丢弃了。如果有人为我澄清这一点会很有帮助。谢谢 ！