Questions tagged «snort»

1
Snort正在接收流量,但似乎未应用规则
我已经在本地网关上通过NFQUEUE安装了snort,并通过NFQUEUE以串联模式运行(因为我可以走进隔壁的房间并触摸它)。我的规则如下/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) 此规则与某些DLink路由器中的后门有关。我选择此规则是因为它看起来很容易测试。规则本身是由新兴威胁中的pullpork添加的,因此我认为规则语法是正确的。 为了进行测试,我在面向互联网的端口80上配置了lighttpd网关,并确认该网关可访问。然后,在远程计算机上,运行命令curl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。这会立即将响应从lighttpd打印到控制台并退出。网关上不会生成任何Snort警报。 另外,netfilter似乎仅利用了我运行的四个snort进程中的两个。我可以看到这一点,htop因为使用bittorrent测试时,CPU 1和2上的snort进程负担很重...但是CPU 0和3上的snort进程仍然完全空闲。 我的测试方法错误吗?还是snort不应该在什么时候发出警报(即由于配置错误)?我在哪里可以看到为什么netfilter无法在所有四个队列之间平衡流量? 组态 我的Snort / Netfilter配置 我的netfilter链的特定相关部分是: Chain wan-fw (1 references) pkts bytes target prot …
11 iptables  snort  ips 

2
Snort性能监控
使用snort版本2.8.6,我尝试收集应用程序性能统计信息,例如 由于应用程序过载而未处理的数据包数 处理层中的时间百分比(预处理器,重组,模式匹配等) 处理的数据包数 等等 我目前正在使用perfmonitor预处理器转储性能统计信息,并通过SNMP调用绘制其中一些值的图形。该预处理器的文档非常有限,并且不能很好地解释这些字段的实际含义或计算这些数字的时间范围。 要获得这些类型的性能指标,哪些领域应该我在看和这些领域如何测量?
11 monitoring  snort 
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.