Snort 2.9.7.0をインストールしましたが、nmapポートスキャン、exeファイルのダウンロード、キーワード「root」を含むドキュメントのオープンなど、ほとんどの攻撃を検出しません。
私はSnortをPulled PorkおよびBarnyard2と一緒に使用します。すべてが機能しているようで、BASEを使用しているWebサイトでアラートを確認できます。
問題は、3つの異なるアラートしかトリガーできないことです。それ以外はすべて検出されません。誰かがポートスキャンを実行したり、DDOS攻撃を実行しようとしたりしたときにアラートを受け取ることができるようにしたいのは明らかです。これはトリガーできません。どこかで何かを有効にする必要がありますか?...
独自のlocal.rulesファイルを作成しました。これには、ICMPエコーパケットの監視という単一のルールが含まれています。
Pulled Porkは、20000を超えるルールをダウンロードし、5000を超えるルールが有効になっていることを示しています。これは、snort.confファイルに含めたsnort.rulesファイルで確認できます。
トリガーできる3つのアラートは次のとおりです。
私のsnort.confは、次のWebサイトにあります(最大文字数リストに達したため、そこに移動する必要がありました)。 https://paste.ee/p/RTUgY
私のpullpork.confは、次のWebサイトにあります。 https://paste.ee/p/ixZqW
私のlocal.rulesは次のようになっています(機能します)。
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
解答を部分に分解して、問題を解きましょう。
PortScan
Nmapを有効にするために変更する必要があるいくつかの構成がありますportscan
Sudo gedit /etc/snort/snort.conf
でsnort構成ファイルを開きます。
この行のコメントを外して変更します(通常#428):
Portscan detection. For more information, see README.sfportscan
preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium } logfile { /var/log/snort/portscan.log }
Sudo service snort restart
exeファイルのダウンロード
ルールを見つけるか、独自のルールを作成する必要があります。デフォルトでは、主にETまたはSnortルールに含まれているため、ルールを見つけてコメントを外す必要があります。
必要な目的に応じて、各タイプのルールを見つけることができます/etc/snort/rules/snort.rules
(ほとんどの場合)独自のファイルを見つける必要があります。