1

Я подписался на Snort VRT и получил последний набор правил (snortrules-snapshot-2956.tar.gz), я установил snort из источника, используя руководство (http://www.snort.org/assets/158/snortinstallguide293.pdf) для Ubuntu 12.04 LTS.

Я обнаружил, что snort не предупреждает о типовых вредоносных запросах, т.е. DT to ../../../etc/passwd, curl www.testmyids.com, сканирование портов с использованием набора правил VRT. Затем я добавил набор правил ETOpen, и он начал предупреждать о вышеупомянутых запросах (curl www.testmyids.com, пример ping в local.rules, атака DNS):

04/03-11:32:47.780946  [**] [1:2100498:8] GPL ATTACK_RESPONSE id check returned root [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} X.X.X.X:80 -> Y.Y.Y.Y:44591
04/03-11:47:28.034106  [**] [1:10000001:0] ICMP test [**] [Priority: 0] {ICMP} X.X.X.X -> Y.Y.Y.Y
04/03-12:01:12.771472  [**] [1:2016016:6] ET CURRENT_EVENTS DNS Amplification Attack Inbound [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} X.X.X.X:39613 -> Y.Y.Y.Y:53

Поскольку я впервые использую VRT (я раньше использовал ET и работал довольно хорошо),

  • это нормальное поведение, чтобы не предупреждать о вышеуказанных событиях?
  • если нет, то есть любая конфигурация мне нужно установить для VRT работать? вот мой snort.conf

1 ответ1

0

оповещение зависит от загруженного правила (наборов); VRT отличается от ET и поставляет разные правила; они разделяют общий набор открытых правил VRT, хотя

поэтому, когда один загруженный набор правил оповещает, а другой нет, следует настроить свой набор правил.

для дальнейших вопросов я хотел бы направить вас к списку рассылки snort, потому что это проблема конфигурации / понимания, как это работает :)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .