即使正常工作也不会报告大多数规则

信息安全 网络 linux 打喷嚏 入侵 ubuntu
2021-08-20 07:56:59

我已经安装了 Snort 2.9.7.0,它没有检测到大多数攻击,例如 nmap 端口扫描、下载 exe 文件、打开包含关键字“root”的文档。

我将 Snort 与 Pulled Pork 和 Barnyard2 一起使用。一切似乎都正常,我可以在由 BASE 提供支持的网站上看到警报。

问题是我只能触发 3 个不同的警报。其他一切都根本没有被检测到。我显然希望能够在有人执行端口扫描、尝试执行 DDOS 攻击等时收到警报。这是我无法触发的。我必须在某处启用某些东西吗?...

我制作了自己的 local.rules 文件,其中包含一条规则 - 监控 ICMP 回显数据包。

Pulled Pork 确实显示它已经下载了超过 20000 条规则,并且启用了超过 5000 条规则。这可以在我包含在 snort.conf 文件中的 snort.rules 文件中看到。

我能够触发的 3 个警报是:

  • stream5: TCP Small Segment Threshold Exceeded(这是由于我的旧 Win SCP 客户端)
  • ssh:协议不匹配(这是由于我的旧 Putty 客户端造成的)
  • ICMP 测试(我自己的来自 local.rules 的规则)

我的 snort.conf 可以在以下网站上找到(不得不把它移到那里,因为我达到了最大字符列表):https ://paste.ee/p/RTUgY

我的 pullpork.conf 可以在以下网站上找到:https ://paste.ee/p/ixZqW

我的 local.rules 看起来像这样(确实有效):

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
1个回答

好的,将您的问题及其解决方案分成几部分。

  1. 端口扫描

    您需要更改一些配置以启用 nmapportscan打开 snort 配置文件sudo gedit /etc/snort/snort.conf

    取消注释并修改这一行(通常是#428):

    Portscan detection. For more information, see README.sfportscan

    preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium } logfile { /var/log/snort/portscan.log }

    sudo service snort restart

  2. 下载exe文件

    您需要查找规则或编写自己的规则。默认情况下,它主要存在于 ET 或 Snort 规则中,您需要找到它并取消注释。

您可以在那里找到您需要的每种类型的规则 /etc/snort/rules/snort.rules(在大多数情况下)您需要找到自己的文件。

其它你可能感兴趣的问题
上一篇代理服务器和受限工作计算机 下一篇防御流氓的方法(移动客户端)