问题标签 [snort]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
regex - Snort/PCRE 正则表达式:奇数字符类语法
当我解析 Snort 正则表达式集时,我发现了一个非常奇怪的字符类语法,比如[\x80-t]or [\x01-t\x0B\x0C\x0E-t\x80-t],我不知道(真的不知道)-t是什么意思。我什至不知道它是标准 PCRE 还是某种 Snort 扩展。
下面是一些包含这些字符类的正则表达式:
PS:请注意,这\x80-t甚至不是标准方式的有效范围,因为字符t是\x74。
snort - Snort 不显示阻止/丢弃的数据包
我正在尝试使用 Snort 检测 ping 洪水攻击。我已经包含了规则
在 Snort 的 ddos.rule 文件中。
我正在使用命令进行攻击
攻击机中的 ping 统计信息显示
100% 丢包
然而,Snort 动作统计显示结果为
块-> 0。
为什么会这样?
linux - Snort http_inspect 预处理器不会对流量发出警报
我目前正在为一个项目测试 Snort IDS,我遵循了 Snort 2.9.5.3 安装指南。我在正确配置 http_inspect 以使其向流量发出警报时遇到问题。
Snort 监控的(虚拟)网络由它、运行 DVWA(192.168.9.30)的 Ubuntu 机器和 Kali Linux VM(192.168.9.20)组成。我为 /etc/passwd 的任何数据包内容创建了本地规则。此规则检测到从 Kali VM 发送到 DVWA VM 的碎片数据包(使用文件包含)
我相信我已经将 http_inspect 配置为生成 URL 编码、多斜杠和自引用的警报(见下文)。运行规避方法后,我检查了 Snort 的终端输出,它显示它确实检测到了这些方法的使用,但它没有生成警报。
snort.conf
地方规则
networking - Snort 分析 - 规则比较
我想问一个关于snort的问题。
我有不同的 snort 规则,一些属于 v2.9.1(大约 3 年前),一些属于 v2.9.5.6。
我还有一个数据集,其中也包含一些恶意流量。
现在,当我使用规则 v2.9.1 运行 snort 时,它会为我的数据集的 %17 发出警报。另一方面,使用规则 2.9.5.6,它只对我数据集的 0.02% 发出警报。这是什么原因?我期待得到更好的结果,但它几乎无法检测到恶意数据包。
有人对此有想法吗?
提前致谢。
真挚地。
埃雷
snort - snort ips 规则 - 拒绝工作但 drop 和 sdrop 不工作
我尝试将 snort 作为 IPS 运行。所以我通过 apt-get 在 ubuntu 服务器上安装 snort并将daq_type配置为afpacket并将daq_mode配置为inline。和2 个接口,如eth1:eth2 然后我编写一个测试规则
它可以工作,但是当我将其更改为
这没用。当我将动作更改为 sdrop 时,结果是相同的。我从源代码安装了 snort,但结果是一样的。你能帮忙写出真正的规则吗?
linux - ldconfig 仅加载 .so 文件
我正在尝试运行一个使用 libdnet 的程序(Snort),但找不到它并输出:
snort:加载共享库时出错:libdnet.1:无法打开共享对象文件:没有这样的文件或目录
现在我知道我应该通过运行ldconfig并将库的路径放入/etc/ld.so.conf. libdnet 位于,/usr/local/lib因此我不必修改ld.so.conf,因为它已经涵盖了该目录。所以我运行了以下命令并跟踪输出,我注意到我的库没有被加载。
显然 ldconfig 只加载.so名称中有某处且libdnet.1与模式不匹配的文件。
我已经从源代码构建了 libdnet 并使用./configure; make; make install命令安装了它。除非必须,否则我宁愿不使用包管理器安装它。我应该怎么办?
编辑:这里
说库应该匹配模式,但我不能重命名库。我既没有做到,也没有在我自己的应用程序中使用它:如果我重命名它,它将被加载,但我认为 Snort 正在寻找not 。lib*.so*libdnet.1libdnet.so.1
networking - Snort - 运行时出错
使用命令运行 snort(在数据包转储模式下)sudo snort -C snort.conf -A console -i eth0出现以下问题:
有人可以提出解决方案吗?
inline - 内联模式和 afpacket 类型的低 snort 性能
我以 afpacket 类型的内联模式安装和配置 snort。我没有规则地测试它,并且只测试一个规则和更多规则。但结果是一样的。我的 snort 性能太低了。
当我使用通过 (brctl) 创建的系统桥时,我可以使用完整的网络绑定宽度,并且我的 cpu 使用率大约为零。
虽然我在系统桥后面以被动模式 (IDS) 使用 snort,但我的 cpu 使用率大约是 60-70%,而且我的网络绑定宽度很好(大约占满的 80%)
但是当我在内联模式 (IPS) 中使用 snort 时,虽然 CPU 使用率接近于零,但我的网络绑定宽度非常低且低于 1 MB。我通过(ab)测试它
我的配置如下: http: //www.pastebin.ca/2688413(我使用 (grep -v ^# | grep -v ^$) 删除评论)完整的配置文件是: http: //www.pastebin.ca /2688414
我在运行 snort 时添加 -Q 我使用 ubuntu 12.04
感谢您的帮助
snort - 在 windows8 上以测试模式测试 snort 时无法加载规则
我安装了 snort 并在运行它时出现以下错误在 windows8
初始化输出插件!初始化预处理器!初始化插件!解析规则文件“c:\snort\etc\snort.conf”错误:c:\snort\etc\snort.conf(51) 缺少 DNS_SERVERS 的参数致命错误,正在退出。无法创建注册表项。
snort - 字节码的 Snort 规则
我今天才开始学习如何使用 Snort。
但是,我需要一些关于我的规则设置的帮助。
我正在尝试在网络上查找以下发送到机器的代码。这台机器上安装了 snort(就像我现在安装的那样)。
我想在网络上分析的代码是以字节为单位的。
现在,我想分析代码的前 7 个字节。对我来说,如果第 1 个字节是(AA),第 7 个字节是(0F). 然后我想让snort发出警报。
到目前为止,我的规则是:
我猜我显然在某个地方犯了错误。也许熟悉snort的人可以帮助我?
谢谢。