问题标签 [snort]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - Python 2.7 中的正则表达式,用于从 Snort 日志文件中提取信息
我正在尝试使用正则表达式从Snort文件中提取信息。我已经成功获得了 IP 和 SID,但我似乎无法提取文本的特定部分。
如何提取 Snort 日志文件的一部分?我试图提取的部分可能看起来像[Classification: example-of-attack]或[Classification: Example of Attack]。然而,第一个例子可以有任意数量的连字符,而第二个例子没有任何连字符但包含一些大写字母。
我怎么能只提取example-of-attackor Example-of-Attack?
不幸的是,我只知道如何搜索静态词,例如:
我在网上尝试了许多不同的命令,但我似乎不明白。
networking - AlienVault OSSIM:无效的“if_sid”错误
我不知道这个问题是否被认为与编程有关,但无论如何我都会尝试。我是 Alienvault OSSIM 系统的新手。我正在尝试学习如何制定自己的规则,但不幸的是我遇到了一些困难。我在 Snort 规则文件夹内的规则文件“local.rules”中创建了一个简单的规则。
此规则在从任何机器到任何机器的 icmp ping 后触发。我检查了 Snort 是否处理此规则,并且确实它的记录出现在 snort 日志文件中。
从我对此进行的搜索中,我意识到在更改规则文件后,我必须运行下面的脚本来映射规则文件。
然后我在 local_rules.xml 文件中创建了以下 OSSIM 规则:
系统重新启动后,我向机器发送了一些 ping,但该规则没有出现在警报日志中。在 OSSIM 系统错误日志中会出现:
有人可以向我解释我做错了什么吗?
centos - centos 6.5上snort安装错误
但 libdnet 已安装:
snort - 重定向试图查看恶意 URL 或不在 snort 规则列表中的用户?
我有一个相当简单的内联 IPS 设置,它使用 Snort 作为检测系统。我想知道是否可以使用 Snort 重定向尝试查看不允许列表中的 URL 的用户。
我订阅了 Snort 实时更新/最新的数据库,它正在工作并给我警报,但到目前为止我在重定向主题上看到的唯一一件事就是去:
恶意攻击 -> Snort 识别攻击 -> 重定向到蜜罐,而不是:
LAN 上的用户 -> snort 识别出不允许的站点 -> 重定向到 xyz 页面
python - 使用 Python 读取/解析 Snort 警报文件
将部分文本文件(snort 警报)设置为单独的变量的最佳方法是什么?
例如“Snort 日志输出”
我需要设置:
来分隔变量。
这不是必需的,但我希望可以从同一个文件中读取/设置多个警报。
但首先我只想设置一个警报。
http - 为什么我在 HTTP Referer 字段中看到?
我正在运行一个 Snort IDS,并且其中一个规则在 HTTP 标头<!--{1,200}-->的Referer字段中匹配。当我查看 pcap 时,似乎没有任何一致性。有时它看起来像 HTML。在一种情况下,有<!--SS_END_SNIPPET (2,17)-->(或类似的东西)。
我在这里搜索了谷歌,但还没有找到任何可以解释这一点的东西,我无法弄清楚其目的可能是什么。
签名是一套的。如果我可以改进它以捕捉它应该寻找的东西,我想改变它。它会产生很多匹配。或者,也许我想完全消除它。
这样做的目的是什么,它与跨站点脚本有什么关系?
mysql - barnyard2不与mysql交谈
我已经使用以下配置安装了 snort
我有一个 icmp 规则设置如下
我开始使用以下内容开始 snort,它开始正常并且正在记录,因为我在alerts和中看到条目snort.u2.timestamp
我的banyard2配置文件
我开始使用以下命令
在日志中,我遇到了以下问题,并且没有任何内容写入 mysql。
security - 将 Snort IDS 与 Webcrawler 一起使用
我完全是 Snort IDS 软件和 IDS 概念的新手,我需要知道是否可以使用 Snort 检测隐形恶意网络爬虫!换句话说,我可以定义 snort 规则来检测恶意网络爬虫吗?!!
snort - 如何知道 snort 是否检测到 syn flood 攻击,因为 snort 警报没有记录任何内容
我在 Centos 上作为 IDS 运行了 snort。我正在尝试测试 snort 是否可以检测到 syn flood 攻击。我从同一个 LAN 网络发送攻击。我在 local.rules 中添加了这条规则alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)。当我在快速模式下运行 snort 时,没有记录 Snort 警报文件。它正在记录,但现在不是。所以我看不到它是否检测到攻击。如何让 snort 检测到这种攻击?
logging - 从 snort 读取警报日志
我有一个带有 snort 设置的新实例。当我试图查看警报日志时,我注意到该目录没有 /var/log/snort/alert 文件。我试图触摸这个文件并 chmod 为我的 snort 用户提供读写访问权限,但我仍然没有警报(即使我创建了一个规则来捕获所有调用并将它们作为错误放入日志中)
任何想法,如果我错过了什么。
顺便说一下,这是我为 Snort 运行的命令:
我错过了什么吗?