web-dev-qa-db-ja.com

正しく動作してもルールの大部分が報告されないにもかかわらずSnort

Snort 2.9.7.0をインストールしましたが、nmapポートスキャン、exeファイルのダウンロード、キーワード「root」を含むドキュメントのオープンなど、ほとんどの攻撃を検出しません。

私はSnortをPulled PorkおよびBarnyard2と一緒に使用します。すべてが機能しているようで、BASEを使用しているWebサイトでアラートを確認できます。

問題は、3つの異なるアラートしかトリガーできないことです。それ以外はすべて検出されません。誰かがポートスキャンを実行したり、DDOS攻撃を実行しようとしたりしたときにアラートを受け取ることができるようにしたいのは明らかです。これはトリガーできません。どこかで何かを有効にする必要がありますか?...

独自のlocal.rulesファイルを作成しました。これには、ICMPエコーパケットの監視という単一のルールが含まれています。

Pulled Porkは、20000を超えるルールをダウンロードし、5000を超えるルールが有効になっていることを示しています。これは、snort.confファイルに含めたsnort.rulesファイルで確認できます。

トリガーできる3つのアラートは次のとおりです。

  • stream5:TCP小さいセグメントのしきい値を超えました(これは古いWin SCPクライアントが原因です)
  • ssh:プロトコルの不一致(これは私の古いPuTTYクライアントが原因です)
  • ICMPテスト(local.rulesからの自分のルール)

私のsnort.confは、次のWebサイトにあります(最大文字数リストに達したため、そこに移動する必要がありました)。 https://paste.ee/p/RTUgY

私のpullpork.confは、次のWebサイトにあります。 https://paste.ee/p/ixZqW

私のlocal.rulesは次のようになっています(機能します)。

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
6
Jonas Hoffmann

解答を部分に分解して、問題を解きましょう。

  1. PortScan

    Nmapを有効にするために変更する必要があるいくつかの構成がありますportscanSudo gedit /etc/snort/snort.confでsnort構成ファイルを開きます。

    この行のコメントを外して変更します(通常#428):

    Portscan detection. For more information, see README.sfportscan

    preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium } logfile { /var/log/snort/portscan.log }

    Sudo service snort restart

  2. exeファイルのダウンロード

    ルールを見つけるか、独自のルールを作成する必要があります。デフォルトでは、主にETまたはSnortルールに含まれているため、ルールを見つけてコメントを外す必要があります。

必要な目的に応じて、各タイプのルールを見つけることができます/etc/snort/rules/snort.rules(ほとんどの場合)独自のファイルを見つける必要があります。

1
Root