タグ付けされた質問 「snort」

1
Snortはトラフィックを受信して​​いますが、ルールを適用していないようです
Snortをインストールし、ローカルゲートウェイ(次の部屋に歩いて触れられるように)でNFQUEUEを介してインラインモードで実行しています。私には次のルールがあります/etc/snort/rules/snort.rules: alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"ET CURRENT_EVENTS D-LINK Router Backdoor via Specific UA"; flow:to_server,established; content:"xmlset_roodkcableoj28840ybtide"; http_header; pcre:"/^User-Agent\x3a[^\r\n]*?xmlset_roodkcableoj28840ybtide/Hm"; reference:url,www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/; classtype:attempted-admin; sid:2017590; rev:2; metadata:created_at 2013_10_13, updated_at 2013_10_13;) このルールは、一部のDLinkルーターにあるバックドアに関連しています。このルールを選択したのは、簡単にテストできるように見えたからです。ルール自体は、新しい脅威からpullporkによって追加されたため、ルールの構文が正しいと推測します。 テストのために、インターネットに面したポート80でlighttpdを使用してゲートウェイを構成し、アクセス可能であることを確認しました。次に、リモートマシンでコマンドを実行しましたcurl -A 'xmlset_roodkcableoj28840ybtide' 'http://<EXTERNAL_IP>'。これにより、lighttpdからの応答がすぐにコンソールに出力され、終了します。ゲートウェイでSnortアラートは生成されません。 また、netfilterは、実行中の4つのsnortプロセスのうち2つのみを使用しているようです。htopCPU 1と2のsnortプロセスがbittorrentでテストするときに重い負荷を発生させるので、これを見ることができます...しかし、CPU 0と3のsnortプロセスは完全にアイドル状態のままです。 私のテスト方法論は間違っていますか?または、snortは、必要なときに警告を発していません(つまり、構成エラーのため)。netfilterが4つのキューすべての間でトラフィックのバランスをとっていないのはなぜでしょうか? 構成 My Snort / Netfilter Config 私のnetfilterチェーンの特定の関連部分は次のとおりです。 Chain wan-fw (1 references) pkts bytes …
11 iptables  snort  ips 

2
Snortパフォーマンスモニタリング
snortバージョン2.8.6を使用して、次のようなアプリケーションのパフォーマンス統計を収集しようとしています。 アプリケーションの過負荷が原因で処理されなかったパケットの数 レイヤーの処理(プリプロセッサ、再アセンブリ、パターンマッチングなど)の時間の割合 処理されたパケットの数 等 現在、パフォーマンス統計をダンプするためにperfmonitorプリプロセッサを使用しており、SNMP呼び出しを介してこれらの値の一部をグラフ化しています。このプリプロセッサに関するドキュメントはかなり制限されており、フィールドが実際に何を意味するのか、数字がどの時間枠で計算されるのかを説明するのに適していません。 これらの種類のパフォーマンスメトリックを取得するには、どのフィールドを確認する必要があり、それらのフィールドはどのように測定されますか?
11 monitoring  snort 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.