1
Snortはトラフィックを受信していますが、ルールを適用していないようです
Snortをインストールし、ローカルゲートウェイ(次の部屋に歩いて触れられるように)でNFQUEUEを介してインラインモードで実行しています。私には次のルールがあります/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) このルールは、一部のDLinkルーターにあるバックドアに関連しています。このルールを選択したのは、簡単にテストできるように見えたからです。ルール自体は、新しい脅威からpullporkによって追加されたため、ルールの構文が正しいと推測します。 テストのために、インターネットに面したポート80でlighttpdを使用してゲートウェイを構成し、アクセス可能であることを確認しました。次に、リモートマシンでコマンドを実行しましたcurl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。これにより、lighttpdからの応答がすぐにコンソールに出力され、終了します。ゲートウェイでSnortアラートは生成されません。 また、netfilterは、実行中の4つのsnortプロセスのうち2つのみを使用しているようです。htopCPU 1と2のsnortプロセスがbittorrentでテストするときに重い負荷を発生させるので、これを見ることができます...しかし、CPU 0と3のsnortプロセスは完全にアイドル状態のままです。 私のテスト方法論は間違っていますか?または、snortは、必要なときに警告を発していません(つまり、構成エラーのため)。netfilterが4つのキューすべての間でトラフィックのバランスをとっていないのはなぜでしょうか? 構成 My Snort / Netfilter Config 私のnetfilterチェーンの特定の関連部分は次のとおりです。 Chain wan-fw (1 references) pkts bytes …