snort анализ захвата проводов

Я пытаюсь идентифицировать пользователей проблем в нашей сети. ntop идентифицирует высокий трафик и пользователей с высоким уровнем соединения, но вредоносное ПО не всегда требует высокой пропускной способности, чтобы действительно повредить вещи. Поэтому я пытаюсь провести автономный анализ с помощью snort (не хочу обременять маршрутизатор встроенным анализом трафика 20 Мбит /с). По-видимому, snort предоставляет для этой цели опцию -r, но я не могу заставить анализ работать.

Система анализа представляет собой gentoo, amd64, если это имеет значение. Я уже использовал oinkmaster для загрузки последних подписей IDS. Но когда я пытаюсь запустить snort, я продолжаю получать следующую ошибку:

% snort -V

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.0.3 IPv6 GRE (Build 98) x86_64-linux
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
           Copyright (C) 1998-2010 Sourcefire, Inc., et al.
           Using libpcap version 1.1.1
           Using PCRE version: 8.11 2010-12-10
           Using ZLIB version: 1.2.5

%> snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/

(надрез)

273 out of 1024 flowbits in use.

[ Port Based Pattern Matching Memory ]
+- [ Aho-Corasick Summary ] -------------------------------------
| Storage Format    : Full-Q
| Finite Automaton  : DFA
| Alphabet Size     : 256 Chars
| Sizeof State      : Variable (1,2,4 bytes)
| Instances         : 314
|     1 byte states : 304
|     2 byte states : 10
|     4 byte states : 0
| Characters        : 69371
| States            : 58631
| Transitions       : 3471623
| State Density     : 23.1%
| Patterns          : 3020
| Match States      : 2934
| Memory (MB)       : 29.66
|   Patterns        : 0.36
|   Match Lists     : 0.77
|   DFA
|     1 byte states : 1.37
|     2 byte states : 26.59
|     4 byte states : 0.00
+----------------------------------------------------------------
[ Number of patterns truncated to 20 bytes: 563 ]
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

net-libs /daq установлен, но я даже не хочу захватывать трафик, я просто хочу обработать файл захвата.

Какие параметры конфигурации я должен устанавливать /отключать, чтобы выполнять автономный анализ вместо захвата в режиме реального времени?

7 голосов | спросил Ben Voigt 22 Jpm1000000pmSat, 22 Jan 2011 23:07:39 +030011 2011, 23:07:39

3 ответа


1

Я не знаком с Gentoo специально, но вы можете попробовать использовать флаг «-daq-list», чтобы узнать, что (если есть) модули DAQ Snort.

например:

# snort --daq-list
Available DAQ modules:
pcap(v3): readback live multi unpriv
ipfw(v2): live inline multi unpriv
dump(v1): readback live inline multi unpriv
afpacket(v4): live inline multi unpriv

Затем используйте флаг «--daq-dir», чтобы указать Snort в каталог, содержащий библиотеки DAQ.

snort -v -r jan21-for-snort.cap -c /etc/snort/snort.conf -l ~/snortlog/ --daq-dir /usr/local/lib/daq/
ответил Brandon 26 AM00000070000003931 2011, 07:32:39
0

Я не совсем уверен, что такое исправление, но оно может быть связано с флагами USE, указанными для компиляции snort. Об этом сообщается в следующем POST Сообщение, которое я думаю также содержит временное решение.

Я бы предложил использовать другой дистрибутив /windows, или попросить на форумах Gentoo о проблемах сборки со Snort.

ответил cwheeler33 23 Jam1000000amSun, 23 Jan 2011 04:28:44 +030011 2011, 04:28:44
0

Я всегда делаю это:

  1. Создание виртуальной сетевой карты eth10
  2. Повторить трафик на eth10
  3. Захват трафика на eth10

Создание виртуальной сетевой платы

Я положил это в bash-скрипт, выполнив его (chmod + x script.sh) и выполнив его:

#!/usr/bin/env bash

modprobe dummy
lsmod | grep dummy
ip link set name eth10 dev dummy0
ip link show eth10
ifconfig eth10 hw ether 00:22:22:ff:ff:ff
ip link show eth10
ip addr add 192.168.100.199/24 brd + dev eth10 label eth10:0
ifconfig eth10 up
ifconfig eth10 promisc

Повторить трафик

Получите tcpreplay и выполните:

sudo tcpreplay -i eth10 -T nano mypcap.pcap

Захват трафика

Сделайте snort sniff:

sudo snort -i eth10 -u snort -g snort -c /etc/snort/snort.conf
ответил Jan 29 PM00000010000003531 2017, 13:21:35

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132