web-dev-qa-db-ja.com

Snort(IDS)ポートスキャンを表示しない

私はこれでSnortとacidbaseをインストールしました instruction で、このローカルアドレスからアクセスします

127.0.0.1/acidbase/base_main.php

問題は、このコマンドでnmapでスキャンした後です

Sudo nmap -p1-65535 -sV -sS -O [Snort Installed IP Address]

ネットワーク内の別のコンピューターによって魔女はping接続を持っています。ポートスキャントラフィックには何も表示されず、常に0%です。他のすべてを記録し、アラートがアラートキャッシュに表示されるため、構成は問題ないと確信しています。

Snortがポートスキャンアクティビティを表示しない理由は何ですか?

編集:

「プリプロセッサsfportscan」のコメントを外し、snortサービスを再起動し、nmapでポートスキャンを実行しました。結果:何もありません。

プリプロセッサsfportscan:proto {all} memcap {10000000} sense_level {high}

「ipvar HOME_NET」に自分の正確なIPアドレスを入力し、snortサービスを再起動し、別のPCでポートスキャンを実行しました。結果:なし。

行が含まれています

$ PREPROC_RULE_PATH/preprocessor.rules

がコメント化されているため、そのパスにはpreprocessor.rulesファイルがありません。

5
user13934

これに答えるには、snort.confと他のSnort設定を知っている必要があります。それでも私はあなたが提供したどんな限られた情報でも答えようとします。

おそらく、portscan preprecessor(正しく覚えていればsfportscanと呼ばれます)のしきい値設定は、snort.confでより高い(デフォルト)値に設定されており、ポートスキャンはこれらのしきい値を超えることができませんでした。もう1つの理由は、$HOME_NET変数が、スキャンしているIPがHOME_NETにないように定義されているため、Snortがそのスキャンを気にしないことです。スキャンに使用しているIPやターゲットIPなど、他の理由も考えられます。どちらもHOME_NETの一部であるため、SnortはHOME_NET-to-HOME_NETスキャンを考慮しません。

2
pnp

あなたはそれらの行のコメントを外す必要があります、すなわちそれを作ります

$ PREPROC_RULE_PATH/preprocessor.rulesを含めます

sfportscanを有効にするだけですべてができるわけではありません。ポートスキャンが検出されたら、ルールとアクションを有効にする必要があります。

1
Rahul Dimri