Novità per sbuffare qui. Ho scaricato snort (2.9.6.0 GRE Build 47) sulla mia Ubuntu 14.04, ho scaricato anche le regole di emergingthreat.
Ho eseguito il seguente comando
root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0 -A fast -s -y -c emerging.conf
e ho ottenuto quanto segue quando ho riprodotto un pcap con una sessione HTTP dannosa
Commencing packet processing (pid=8379)
07/05/16-10:07:27.349104 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24197 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75 Ack: 0x0 Win: 0x7210 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094521840 0 NOP WS: 7
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:27.358086 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x79E2AA84 Ack: 0xAFF057C3 Win: 0xFFFF TcpLen: 24
TCP Options (1) => MSS: 1460
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:27.358190 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:27976 IpLen:20 DgmLen:40 DF
*****R** Seq: 0xAFF057C3 Ack: 0x0 Win: 0x0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.346259 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24198 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75 Ack: 0x0 Win: 0x7210 TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094522090 0 NOP WS: 7
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.354186 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x7545E146 Ack: 0x3E9E4D76 Win: 0xFFFF TcpLen: 24
TCP Options (1) => MSS: 1460
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.354454 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24199 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x3E9E4D76 Ack: 0x7545E147 Win: 0x7210 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.355903 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24200 IpLen:20 DgmLen:79 DF
***AP*** Seq: 0x3E9E4D76 Ack: 0x7545E147 Win: 0x7210 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
07/05/16-10:07:28.366111 192.168.3.1:80 -> 192.168.1.11:16958
I problemi che ho:
- Perché gli eventi per ogni pacchetto TCP vengono visualizzati qui? come lo disabilito? Ho solo bisogno di vedere l'evento per le partite di malware reali
- perché gli eventi non vengono inviati al server syslog? Ho un'interfaccia "lo" di monitoraggio wirehark per i pacchetti udp sulla porta 514 ma non ne vedo nessuno.
Ecco il link per emerging.conf: link
Qualche idea? Grazie.