Domande su snort che generano troppi eventi e non inviano a syslog

2

Novità per sbuffare qui. Ho scaricato snort (2.9.6.0 GRE Build 47) sulla mia Ubuntu 14.04, ho scaricato anche le regole di emergingthreat.

Ho eseguito il seguente comando

root@myhp:~/pkgs/emergeThreats/snortRules# snort -vi tap0  -A fast -s -y -c emerging.conf

e ho ottenuto quanto segue quando ho riprodotto un pcap con una sessione HTTP dannosa

Commencing packet processing (pid=8379)
07/05/16-10:07:27.349104 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24197 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75  Ack: 0x0  Win: 0x7210  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094521840 0 NOP WS: 7 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:27.358086 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x79E2AA84  Ack: 0xAFF057C3  Win: 0xFFFF  TcpLen: 24
TCP Options (1) => MSS: 1460 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:27.358190 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:27976 IpLen:20 DgmLen:40 DF
*****R** Seq: 0xAFF057C3  Ack: 0x0  Win: 0x0  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.346259 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24198 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3E9E4D75  Ack: 0x0  Win: 0x7210  TcpLen: 40
TCP Options (5) => MSS: 1460 SackOK TS: 1094522090 0 NOP WS: 7 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.354186 192.168.3.1:80 -> 192.168.1.11:16958
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:44
***A**S* Seq: 0x7545E146  Ack: 0x3E9E4D76  Win: 0xFFFF  TcpLen: 24
TCP Options (1) => MSS: 1460 
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.354454 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24199 IpLen:20 DgmLen:40 DF
***A**** Seq: 0x3E9E4D76  Ack: 0x7545E147  Win: 0x7210  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.355903 192.168.1.11:16958 -> 192.168.3.1:80
TCP TTL:64 TOS:0x0 ID:24200 IpLen:20 DgmLen:79 DF
***AP*** Seq: 0x3E9E4D76  Ack: 0x7545E147  Win: 0x7210  TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

07/05/16-10:07:28.366111 192.168.3.1:80 -> 192.168.1.11:16958

I problemi che ho:

  • Perché gli eventi per ogni pacchetto TCP vengono visualizzati qui? come lo disabilito? Ho solo bisogno di vedere l'evento per le partite di malware reali
  • perché gli eventi non vengono inviati al server syslog? Ho un'interfaccia "lo" di monitoraggio wirehark per i pacchetti udp sulla porta 514 ma non ne vedo nessuno.

Ecco il link per emerging.conf: link

Qualche idea? Grazie.

    
posta packetie 05.07.2016 - 17:20
fonte

1 risposta

1

Gli eventi dettagliati (riguardo a ciascun pacchetto) sono dovuti all'opzione "-v". Dopo averlo rimosso, non li vedo.

L'avviso compare in un file "alert" nella directory predefinita / var / log / snort. Uno può cambiarlo con l'opzione della riga di comando -l <new directory> .

Non so perché lo snort non sta inviando il syslog usando il socket UDP. Il comando "strace" mi ha mostrato che sta effettivamente usando il socket UNIX. La specifica della destinazione nel file di configurazione (emerging.conf) output alert_syslog: host=192.168.181.1:514, LOG_AUTH LOG_ALERT non ha aiutato. Dovevo mettere una soluzione alternativa usando uno script che fosse in ascolto sul socket unix e invialo usando il socket UDP.

    
risposta data 06.07.2016 - 06:15
fonte

Leggi altre domande sui tag