问题标签 [snort]

嗨，我想让snort 2.9.4在基于mips-linux的设备上运行，所以我交叉编译了 snort 和所有支持包。

我在配置 snort 时使用该选项--disable-static-daq ，因为我不想使用所有daq模式。我需要的只是afpacket模式。

当交叉编译正常时，我将 daq_afpacket.so、libsfbpf.so.0.0.1、libdaq.so.2.0.0、libdnet.1.0.1、libpcre.so.0.0.1、libpcap.so.1 移动到目标设备的 /usr/lib 目录。并且二进制 snort 被移动到目标设备的 /bin 目录中。

然后我像这样运行snort：

输出显示：

在数据包转储模式下运行

初始化输出插件！

/usr/lib/daq_afpacket.so：dlopen：找不到文件

分段故障

如果我像这样运行 snort：

在数据包转储模式下运行

初始化输出插件！

错误：找不到afpacket DAQ！

致命错误，退出..

你知道我在这里想念什么吗？

我在 Amazon EC2 linux 服务器上设置了 snort，其中包含一条记录所有传入 TCP 数据包的规则。我用 mysql 安装了 barnyard 以将这些日志记录到数据库中。Snort 运行良好，当我使用纯文本登录时，-K ascii我可以在日志文件中看到所有 TCP 数据包。/var/log/snort当我以unified2格式登录时，我还可以看到所有的 snort.log.timestamp 文件。

我的问题是，当我运行 barnyard2 时，它在这些日志中找不到任何信息。我得到反馈，例如：

关闭的假脱机文件 /var/log/snort/snort.log.timestamp。读取 0 条记录。

我检查了日志，他们确实有数据。似乎我错过了某种配置，它阻止了谷仓读取线轴。

我有正则表达式的基本知识。但我对流行的软件 Snort 或 ClamAV 几乎一无所知。

我正在做一些需要一些大型真实正则表达式及其输入的项目。我发现类似 Snort 和 ClamAV 的软件大量使用正则表达式。所以我对他们很好奇。

您能否展示这些软件中使用的一些典型正则表达式以及它们的输入？

我正在尝试在 CentOS 6.4 上测试 snort 2.9.4，但在控制台上看不到任何警报。我使用以下命令运行它：

snort -i eth2 -c /etc/snort/snort.conf

eth2 是连接到 span 端口的接口。如果我在接口上做一个 tcpdump，我会得到很多很多数据。

我在 local.rules 中有以下规则：

当我点击“控制 c”时，我得到以下统计信息：

谢谢你。

我正在尝试在我的 PC 上运行 Snort，Windows 7，每次在命令提示符下运行它时都会出现此错误，有关此错误的任何想法？

感谢你 。

我的目标是在唯一的捕获中获得来自源主机的 sendt tcp 数据包，不包括重新传输的数据包。是否可以不将重传的数据包包含在数据包中？我正在使用 libpcap，但对 wireshark/tshark/snort 的任何帮助都可能有用（因为他们使用 libpcap 库）

我启动并运行另一个，因为试图让 barnyard2 工作，snort 不再嗅探。她启动时没有错误，端口监控仍在向她发送流量，日志中没有错误。但即使是自定义的 google 访问规则也无法在缓冲区中触发。从看到一切到一夜之间什么都没做，我什么也没做，只是用她上次工作的 mysql 支持编译了 barnyard2 ？？？新服务器，新安装。

由于尺寸限制，不得不切碎。

我在这里完整的 snort.conf -> http://www.bpaste.net/show/K4IoLi86w5fdsoRweQ0m/

我在这里的完整启动-> http://www.bpaste.net/show/uOVVEgNWHFYTwZNmBezI/

好的，所以使用 ubuntu 32 位并运行 snort，我可以看到 u2 日志，但 Barnyard2 似乎没有读取这些文件，因为没有 sql 数据库。

那么我该如何测试呢？这是我用来运行 barnyard2 的命令。“/barnyard2-install/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f .u2.- w /var/log/snort/barnyard2.waldo”

我在那里没有看到 waldo 文件，所以是的，我真的是个新手，但我需要以某种方式学习这些东西。

对于 snort，我只需键入 service snort start。我以 root 身份运行，当我检查 mysql 数据库时，它是空的。我可以将谷仓读数写入文件吗？

有没有地方可以找到我想要的答案？有没有办法测试这些东西？

u2spewfoo 似乎也与我的鼻息无关。

我按如下方式运行snort

./snortLog 收到文件 alert 和 snort.log.1381507400。我想用 WireShark 检查日志文件。我启动了 WireShark，选择了 Import 并在 Input Filename 字段中输入了日志文件的名称。然后我点击确定。我收到一条关于保存以前捕获的数据包的消息。我选择了“继续而不保存”，它继续没有错误消息。然而，数据包列表窗口是完全空的。

我可以通过什么方式编写规则来提醒我不应该有 ACK 的 DNS？我对此很困惑。

这就是我在wireshark中看到的Acknowledgment Number: 0x000001a4 [should be 0x00000000 because ACK flag is not set]

但我想要一个能提醒我的规则。

下面的这条规则对我不起作用。

alert tcp any any -> 192.168.10.2 53 (msg:"MALFORMED DNS QUERY"; flags: A; ack:0; sid:10501;) 以上不会显示在我的警报日志中。但是如果我删除 flags: 和 ack: 它会的。