ネットワーク上のSnortを検出する方法は？

適切に構成されていれば、Snortを検出できないはずです。 「適切に」とは、混合モードの未構成/アドレスが割り当てられていないポートを意味します。 PTW-105で述べたように、snortがリセットを送信するように設定されている場合、たぶんでそれを検出できますが、おそらくsomethingがブロックしていたことを検出します。インラインモードの場合も同様です。

他のいくつかのIDS/IPSとは対照的に、snortであることが本当に知りたい場合、1）snortが他のホストにログを記録するように構成されていて、そのトラフィックを確認できた場合、または2 ）snortのルールセットと一致することがわかっているパケットを送信できます。特に非標準のものに十分なヒットがある場合、またはパケットが非常に具体的であり、snortの検出でのみドロップする場合は、その方法を知ることができます。しかし、意図的にアラームを設定していたため、ノイズが発生します。snortがどのようなアクティブブロッキングモードでも構成されていなかった場合、アラートデータをワイヤーで所定の場所にダンプしたシステム以外の方法は知りません。あなたは見ることができました.

おかげで、

〜パトリック

私はsnortに精通していませんが、他のIPS製品での経験があります。

@ edvinas.meで述べたように、snortがIDS専用モードで実行されている場合は、フィンガープリントを作成できない可能性があります。 FireEyeなどの一部のIDS製品は、SPANポートから実行されるとIDSのみの製品として販売されますが、そのように構成されている場合は接続リセットを実行できます。これは、IDS/IPS製品を積極的に発見するための1つの方法です。

本格的な多くの製品IPS製品は、デフォルトでは、着信接続で拒否するのではなく、接続でDROPを実行するため、検出とフィンガープリントが困難になります。

目の前にはありませんが、Kali Linuxディストリビューションには、IDS/IPS、ファイアウォール、WAFなどのフィンガープリントを作成するための缶詰ツールがいくつかあると思います。自分の環境で遊んでいる場合は、これらを試してみる価値があるかもしれません。