问题标签 [snort]

我在 Windows 上运行 snort 来嗅探单个界面。我想用 snort 嗅探两个接口，我了解到我为不同的接口触发了两次相同的命令。

现在我想将它作为服务运行，我使用了这个命令`

c:\snort\bin\snort.exe /SERVICE /INSTALL -i 1 -lc:\snort\log -cc:\snort\etc\snort.conf

这将为 Snort 创建一个服务。那么，如何将 snort 作为多个接口的服务运行呢？

任何帮助将不胜感激。

我正在按照“Ubuntu 12 LTS 和 14 LTS 上的 Snort 2.9.6.2”指南在我的 ubuntu 12.04 上以 NIDS 模式运行 snort。

https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/050/original/Snort_2.9.6.2_on_Ubuntu.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1415002618&Signature=IfheMZWyL%2BB1PULrNDHCb7dkGTk%3D

为了测试 Snort，我创建了一个简单的规则，当 Snort 看到 ICMP \Echo request" 或 \Echo reply" 消息时，它将导致 Snort 生成警报。将以下行写入空的 /etc/snort/rules/local.conf：

警报 icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

现在我再次测试了配置文件，但它没有从 local.conf 加载规则。键入以下命令：

sudo snort -T -c /etc/snort/snort.conf

我应该得到以下输出：

但相反，我在终端上得到了以下输出。两个字段仍然是 0。

我正在尝试使用 'snort -c C:\snort\etc\snort.conf –T' 验证我的 snort 配置。我收到一条失败的消息：'ERROR: active response: can't open ip' like this one

我不明白为什么我得到这个。有没有人可以帮我解决这个问题。非常感谢。

我有一项任务要求我将以下规则放入 Snort。

drop tcp any any -> 192.168.1.0/24 any (msg:"TCP DoS"; flow: 已建立, to_server; flags:A; threshold: type threshold, track by_src, count 10, seconds 10;)

该规则应该阻止 HC 在 SVR 上执行 DoS。我的印象是，这条规则将阻止前往. .1.0/24 子网停止了前往 .1.0/24 的“SYN”回复。.1.0/24 子网，这将允许服务器继续运行

我看到规则的方式是行不通的。它将阻止前往错误位置的交通。服务器在. .2.0/24 和. .3.0/24 网络，应阻止流量朝该方向前进。

我的网络设置如下：

系统/LAN 网段/IP 地址

管理客户端 (AC) / IT / 192.168.100.3/24

用户客户端 (UC) / 企业 / 192.168.101.25/24

黑客客户端 (HC) / 流氓 / 192.168.13.37

pfSense 路由器/防火墙 (3 NICS) / fwNet / 192.168.1.2

Ubuntu 路由器 (3 NICS) / fwNet / 192.168.1.1

Snort IDS/IPS (2 NICS) (IDS) idsNet 192.168.2.2

服务器 (SRV) / sNet / 192.168.3.2

上面的表格看起来很难看，但我现在无法修复它。我试过了，这个系统上没有截图工具，这是我现在能做的最好的。

基本上，谁是正确的？

在此先感谢您的帮助。这是信息性的。作业已上交并正在评分。我需要了解这是如何工作的。

再次感谢。

我配置为在我的 Ubuntu 12.04 上安装 Snort，其中还包括 Barnyard2 和 BASE 安装。我正在使用 Snort 网站上的可下载规则，该规则要求我在那里注册才能获得oinkcode.

但是，在我调查了已提取到/etc/snort/rules所有规则所在目录的规则之后，所有这些规则都是空的。这是规则之一

谁能帮我指出这些规则有什么问题？snortrules-snapshot-2970.tar.gz我用我得到的 oinccode下载了snort-2.9.7.0. 有什么解决办法吗？如果需要，我也可以发布 snort 配置文件 (snort.conf)，但我不知道如何在帖子中缩短它。

我一直在为我的学校项目使用 Snort。

我的问题是日志文件是二进制格式，我无法使用less/cat/vi. 我该怎么做呢？

我已经在我的snort.conf文件unified2格式中指定了。这是我的snort.conf文件

我只想阻止使用 suricata 或 snort 的 Skype 呼叫，而不阻止 Skype 的其他功能？如果是这样，我必须添加什么规则？我想在 suricata 或 snort 中删除上述规则。

我想在 snort 中检查包含数据包内容的关键字，但不是静态词。

我希望它是动态的，例如在 ubuntu 中获取这个关键字形式的终端。

该代码用于静态值。

请分享你的想法。

谢谢。

我不明白为什么以下规则没有检测到内容“unes​​cape”：

虽然以下工作：

Snort 似乎没有检测到脚本标签内的任何内容。非常感谢。

我正在使用 snort-2.9.7.0 并通过这个简单的代码检查数据包：
alert tcp any any -> $HOME_NET any (msg:"FB found in packet content!!!"; content:"FB"; sid:10000; ) 我想知道数据包的来源并存储它。引导我。
谢谢并恭祝安康。