问题标签 [snort]

构建 Snort / Barnyard2 / Snorby 设置。

无法让 snorby 看到事件。

Snort 和 barnyard2 都在启动时运行。

这是我与问题相关的配置。

打鼾：

谷仓2：

斯诺比：

rc.local：

ifconfig eth1 向上

当前状态：

现在，当系统启动时，我可以看到 snort 和 barnyard2 进程在 rc.local 中运行。

在浏览器中浏览到 localhost 时，我可以登录 Snorby 并更改密码等...

我还可以看到传感器下列出的传感器。

看着工人们，有一个在跑。我还从使用 web ui 中删除了它并重新创建它而没有任何问题。

在数据库中查找 snorby 时，我可以“从签名中选择 *”并查看此处列出的很多签名。

此外，我可以看到最新的 /var/log/snort/snort.u2.1398021580 的大小在不断更新。我的 barnyard.waldo 也在这个目录中，我可以看到它的数据，你可以看到它不再是一个文本文件，而是一个二进制文件。这可以通过删除文件重新创建一个新的 barnyard2.waldo 文本文件并重新启动 barnyard2 来重新创建。通过这样做，文件将变成一个大小为 2056 的二进制文件。

文件所有权是 snort:snort，目录 /var/log/snort 的文件权限是 666。

可能的问题??::

我唯一能看到运行不正常的事情是当我停止 barnyard2 并在没有 -D 的情况下启动以查看启动时。

我收到重复错误：

当我查看谷歌时，这个错误很少，但我相信 barnyard2 在读取 snort,u2 文件时遇到了问题。您可以在这里看到它似乎可以加载它，但仅此而已。无论如何，在查看 Snorby UI 时，列出的传感器上有 0 个事件。

任何想法将不胜感激。

我使用本教程了解如何安装和配置 Snort

但是，我在尝试安装 Barnyard 2 时被卡住了。我能够下载并解压缩它，但是当我尝试使用./configure--with-mysql --with-mysql-libraries=/usr/lib/i386-linux-gnu收到的配置它时；./configure: command not found信息。

我什至尝试了这个主题中给出的建议：

但我收到了相同的结果。我什至重新下载了 Barnyard2，但它一直给我同样的错误信息。关于我做错了什么有什么建议吗？

哦，我正在使用 Linux Mint，如果有帮助的话。

更新：我查过了，文件夹里有一个配置文件，但是为了安全起见，我又下载了一遍，当我执行这个命令时：

autoreconf -fvi -I ./m4

我收到错误消息：

autoreconf: Entering directory。autoreconf：configure.in：未使用 Gettext autoreconf：正在运行：aclocal -I ./m4 -I m4 --output=aclocal.m4t 无法执行“aclocal”：/usr/share/autoconf/ 中没有此类文件或目录Autom4te/FileUtils.pm 第 326 行。 autoreconf：运行失败 aclocal：没有这样的文件或目录``

为了安全起见，我还查看了配置文件的属性：

ls -l | grep configure

-rw-rw-r-- 1 root root 34166 Mei 27 2013 configure.in

甚至在将其更改为可执行文件之后：

-rwxrwxrwx 1 root root 34166 Mei 27 2013 configure.in

我仍然收到相同的错误消息。

好吧，我又指的是本指南。 问题是，在我更改了

至：

我收到了错误消息：

WARNING: Can't find any whitelist/blacklist entries. Reputation Preprocessor disabled.

所以我将其更改为：

但是当我这样做时，我收到了一条新的错误消息：

/usr/local/snort/etc/snort.conf(507) Undefined variable name: WHITE_LIST_PATH.

有谁知道我在这里做错了什么？

我正在使用 snort 将 pcap 文件中的数据包与一组规则进行匹配。我想记录结果。我查看了在 var/log/snort 生成的日志文件，但我想知道与原始 wireshark pcap 文件对应的哪些数据包编号已报告匹配。哪个命令会这样做？

我正在使用snort。我只想报告每个数据包匹配的 1 条规则。就像，如果一个数据包匹配多个规则，那么它应该只报告或记录它匹配的一个规则。据我了解，到目前为止，您必须在 snort.conf 文件中进行更改。我更改了 snort.conf 的这一行

和

并保存此文件。

但是现在当我运行 pcap 文件时，它再次报告针对单个数据包的多个匹配项。

我还需要做什么才能完成这项工作？

在 snort.conf 中进行更改后

我这样做了：

但它给了我这个错误：

看不到要“重启”的 DAQ BPF 过滤器

我对 Perl 正则表达式很陌生，想知道如何编写一个匹配特定十六进制字符的正则表达式，例如0x90. 我试过: "[\x90]"，"\x90"但这些似乎不起作用..我使用 snort 并且需要制定一个规则来0x90在文本中找到字符：

这是我尝试过的，但 snort 给了我一个错误：

有什么想法吗？谢谢！

我正在使用 pig 解析 pcap 文件。我在 part-r-0000 文件中得到输出。它向我展示了以下输出。

如何从该文件中获取实际输出？part-r-0000 文件有什么用？

我正在尝试验证 http 响应的内容以在其中找到内容“abbb”。所以我的规则是

alert tcp MY_SERVER HTTP_PORTS -> any any(msg:"访问的页面有内容 abbb";to_client; 已建立; content:"abb";sid:XXXXX; rev:x;)

不幸的是，这条规则似乎不起作用。谁能告诉我的规则是否有问题。

尝试编写一个规则来检测进入网络的电子邮件流量：

1. 发送到特定域（例如，gmail.com）

2. 是一个 .xls 文件

3. 文件名的名称长度最长可达 75 个字节

4. 是一个电子邮件附件，并且这个附件是一个已知的并且永远不会改变的特定大小（例如，附件大小为 100000 字节）

请注意其他人，我是 snort 的初学者。顺便说一句，我到目前为止只处理了这个：

不确定如何在其中获取文件大小附件检测，或者即使用于检测文件名和类型的 pcre 位是否正确。任何帮助表示赞赏。

我一直在使用 Snort IDS，并且成功地生成了一些测试日志。我面临的问题与他们的格式（alert_fast）有关。下面提供了一些示例日志。

07/23-20:08:56.631567 [ ] [1:2002911:4] ET SCAN 潜在 VNC 扫描 5900-5920 [ ] [分类：尝试信息泄漏] [优先级：2] {TCP} 10.42.42.253:58606 -> 10.42.42.25:5906

07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在不良流量] [优先级：2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

Syslog-ng 向它附加了某种标题：

7 月 23 日 20:08:56 SOME_IP 07/23-20:08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在不良流量] [优先级：2] {TCP 10.42.42.253:40328 -> 10.42.42.56:3306

我需要一种方法来摆脱这些初始数据。我尝试使用目的地d_file { file(“/var/log/file.log” template(“$MSG\n”)); };，但随后产生：

08:56.685455 [ ] [1:2010937:2] ET POLICY 可疑入站到 mySQL 端口 3306 [ ] [分类：潜在的不良流量] [优先级：2] {TCP} 10.42.42.253:40328 -> 10.42.42.56:3306

如您所见，一些原始日志也被删除。

请注意，我想不惜一切代价避免更改为不同的 Snort 日志格式。当然必须有某种方法来解决这个问题？