Snort (IDS) Non mostrare Port Scans

5

Ho installato Snort & acidbase da questa istruzione e accedervi tramite questo indirizzo locale

127.0.0.1/acidbase/base_main.php

Il problema è dopo la scansione con nmap con questo comando

sudo nmap -p1-65535 -sV -sS -O [Snort Installed IP Address]

da un altro computer nella rete che ha connettività ping, non mostra nulla in Portscan Traffic ed è sempre 0%. Sono sicuro che la configurazione è a posto perché registra tutto il resto e gli avvisi vengono visualizzati nella cache degli avvisi.

Qualche idea sul perché Snort Do not show port scan activity?

Modificato:

I decommenta "sfportscan del preprocessore", riavvia il servizio snort, portscaned con nmap, risultato: niente.

preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { high }

Ho inserito il mio indirizzo ip esatto in "ipvar HOME_NET", riavviato il servizio snort, portscaned con un altro pc, risultato: niente.

la linea include

$PREPROC_RULE_PATH/preprocessor.rules

è commentato quindi non esiste un file preprocessor.rules in quel percorso.

    
posta 25.03.2013 - 09:15
fonte

2 risposte

2

È necessario conoscere il proprio snort.conf e altre impostazioni di Snort per rispondere a questo. Comunque cercherò di rispondere con qualsiasi informazione limitata che hai fornito.

Con ogni probabilità, le impostazioni di soglia per portscan preprecessor (chiamate come sfportscan se ricordo male) sono impostate su un valore superiore (predefinito) nel tuo snort.conf, e gli portscan che hai fatto non potevano attraversare quei valori soglia. Un altro motivo potrebbe essere che la tua variabile $HOME_NET è definita in modo tale che l'IP che stai scansionando non è in HOME_NET e quindi Snort non si preoccupa delle scansioni su di esso. Potrebbero esserci anche altri motivi, come l'IP che stai utilizzando per la scansione e l'IP di destinazione, entrambi fanno parte del tuo HOME_NET , e quindi ancora Snort non si preoccupa di una scansione HOME_NET-to-HOME_NET.

    
risposta data 25.03.2013 - 10:31
fonte
1

Devi rimuovere il commento da quelle righe, cioè renderlo

include $ PREPROC_RULE_PATH / preprocessor.rules

solo abilitando lo sfportscan a non fare tutto, devi ancora abilitare le regole e l'azione una volta rilevato il portscan.

    
risposta data 05.06.2014 - 22:32
fonte

Leggi altre domande sui tag