问题标签 [snort]

我在win7中使用snort。我们知道在嗅探器模式下使用 snort 我们可以将很多数据包记录到一个文件中，现在我想将它们记录到一个 mysql 服务器。我在 snort.conf 中启用了数据库输出插件并自定义了一条规则：

作为测试。

一切正常，我使用 ip 为 172.18.186.186 的 PC ping 另一个 172.18.186.189。我希望得到的是8条记录，其中有4条记录，它们的ip_srces是172.18.186.186。但是我只得到了 4 条记录，它们ip_dst的 s 是 172.18.186.186，而ip_srces 是 172.18.186.189。

好吧，那是我的问题。我怎样才能得到我想看的 8 条记录？是否可以？提前致谢。

如何通过管道或流读取 snort 日志？像这样的东西：

这可能吗？我们中的一些人一直在为即将到来的安全竞赛做准备，但我们知道我们将只有 1 个 NIC。我们已经尝试了几个小时来研究解决方案，但我们还没有找到任何可行的方法。谁能指出我们正确的方向？

我必须对大型数据库（Snort 警报）进行查询以查找重复条目。但是，我想出了下面的查询，但是执行起来需要很多时间！

上面的查询试图查找具有相同的警报 ip_dst timestamp以及layer4_dport 它们是否出现了不止一次。我希望它清楚！

有什么提示或技巧可以提高效率吗？

alert tcp any any -> any any (msg:"PRIVMSG from an IRC channel suspecious act"; content:"PRIVMSG"; offset:0; depth:7; nocase; dsize:<64; flow:to_server,established; tag: session,300,seconds;classtype:bad-unknown;sid:2000346;rev:4;)

编写上述规则是为了监控机器人对机器人管理员的响应消息。该规则工作正常，但仅当一个机器人做出响应并且当多个主机同时响应时，一台主机没有警报甚至一个警报。我已将会话时间更改为 30 或 150，但没有运气。

有什么提示或技巧可以提高效率吗？

谢谢。

-艾门

squid daq 模块有许多用于各种类型捕获模块的模块，例如 libpcap、ipfw、pfring 等。使用 daq（基于 squid 文档）可以将一个接口用于多个捕获库。但与其他开源软件一样，它缺乏文档。

有没有使用 snort daq 模块的好文档？

我对打鼾很陌生。我已将 Snort 下载到 Windows 7 上，我想运行它吗？我在 Windows 7 的计算机文件夹中的 Snort 安装文件夹中打开了 snort.exe 文件。我将其作为命令提示符运行？对吗？

我正在尝试在我的家庭网络上运行 snort，但我没有可以镜像端口的交换机。相反，我有一个带有番茄（dd-wrt）的华硕 RT-N16。经过数小时的搜索，我找到的唯一解决方案是：http ://www.snort.org/assets/182/snort-opensuse-vbox-ddwrt.txt

基本上他们说要创建这两个 iptables 规则：

iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.20 --tee

iptables -A POSTROUTING -t mangle -j ROUTE --gw 192.168.1.20 --tee

问题是 --gw 不是一个有效的标志。

然后我需要创建一个脚本来检查规则是否存在。如果是，请删除该规则。如果没有，请创建规则。

我应该 grep iptables -L -v -n --line-n还是应该 grep iptables-save？

1. 什么是正确的 iptables 语法来模拟到 192.168.1.20 的混杂端口？

2. 如果它们不存在，我如何创建将打开 iptables 规则的脚本，如果它们存在则删除它们？

谢谢，

瑞安

我正在使用一个名为snort的开源项目，它是在 Linux 下用 C 语言编写的。我在 netbeans 中正确打开了项目，现在我将对此源代码进行一些更改。程序的 src 文件夹包含几个文件夹，并且每个文件夹都有一些文件夹。听说netbeans可以生成make文件。我正在对文件夹 XFolder 中的 src 文件进行一些更改，并希望在我的项目（YFolder）的另一个文件夹中使用库函数。我包含了 .h 文件并正确使用了该功能。

现在当我可以编译程序时，没关系，但是当我使用在make过程中创建的动态库“.so（共享对象文件）”时；并运行程序，我看到一个错误，这意味着我从其他文件夹中使用的函数未定义并看到此错误；（sfxhash_new 是我调用的外部函数的名称）。

libsf_sip_preproc.so：未定义符号：sfxhash_new

我还编辑了 Makefile.am 并添加了该包的源代码（../YFolder/lib.c and lib.h）；但没有效果。任何人都可以帮助我吗？

编辑：

我在文件夹 src/dynamic-preprocessor/sip 我想在文件中使用一个函数：src/sfutil/sfxHash.c 函数名称是 sfxhash_new(... ... ...) 我正确地包含了 sfxHash.h。我在 Makefile.am 中做了一些更改，但主要的 makefile 是这个。

我的 Makefile.am 文件：

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"COMMUNITY BOT IRC Traffic Detected By Nick Change"; flow: to_server,established; content:"NICK"; nocase; offset: 0; depth: 5; flowbits:set, community_is_proto_irc; flowbits: noalert; classtype:misc-activity; sid:100000240; rev:3;)

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"COMMUNITY BOT Internal IRC server detected"; flow: to_server,established; flowbits:isset,community_is_proto_irc; classtype: policy-violation; sid:100000241; rev:2;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"CHAT IRC message from internal bot"; flow: 已建立； flowbits:isset,community_is_proto_irc; content:"PRIVMSG"; nocase; classtype:policy-violation; sid:1463; )

上述规则由David Bianco编写，用于跟踪任何 IRC 端口上的 IRC bot/server 活动。但是，上述规则工作正常，但我对它们有疑问。当多个 IRC 服务器（其中一些在 7000 上工作，另一些在 6667 上工作）在网络上运行时，我的问题发生了，其中一些将达到规则的条件，Snort 将生成警报，其中一些（甚至一个其中）不会达到这些条件，因此 Snort 不会生成与定义的集合相关的任何警报。我认为有一种不一致。关于这个问题有什么建议吗？我正在研究 Snort 2.8。