snort ignora i pacchetti con indirizzo IP src / dest corrispondente

2

Questa è la mia regola:

alert udp 192.168.1.1 4000 -> 192.168.1.1 7000 (msg:"This rule doesn't work"; sid:1234567;)

Sto facendo snort contro un file pacchetto precaricato dove ci sono pacchetti UDP che corrispondono alla regola sopra riportata. Tuttavia, vengono ignorati da snort e non vengono effettivamente inseriti nel file dei risultati. Perché Snort ignora quei pacchetti e come posso forzare Snort a riconoscere quei pacchetti? Dal momento che corrispondono alla regola (sopra) nel mio file delle regole, penserei che si sarebbero mostrati.

    
posta KyleM 24.03.2013 - 23:57
fonte

1 risposta

1

Preambolo : volevo semplicemente aggiungere un commento prima, poiché è ancora piuttosto poco chiaro che cosa potrebbe causare il tuo problema dalle informazioni fornite, ma ho esaurito lo spazio riservato ai commenti , quindi ecco il mio suggerimento (nessuna garanzia è in realtà il caso):

Su quale tipo di file di acquisizione stai cercando di eseguire le regole di Snort è piuttosto chiaro sia dalla tua domanda, sia dai tuoi commenti successivi. È comunque possibile che tu stia eseguendo il replay in una singola modalità di cattura dei pacchetti, ma da un file con molti pcaps . Questo è ciò che indica flag -r (equivale a usare -pcap-single=<file> ) e il tuo commento che funziona su alcune regole e non sull'altro suggerisce che questo potrebbe essere anche il caso (se in una istanza la prima acquisizione di pacchetti corrisponderebbe alle tue regole , mentre in un altro il pcap che corrisponderebbe alle tue regole potrebbe non essere il primo nella lista di molti). Per fare in modo che Snort riesca a elaborare più pcaps da un singolo file di acquisizione, usa invece -pcap-file=<file> .

Per essere sicuri che questo sia il caso, puoi testarlo con un flag -pcap-no-filter e vedere se itera tutti attraverso l'output. Altri argomenti della riga di comando relativi al tuo caso d'uso sono elencati qui .

In alternativa, puoi cambiare la regola per far corrispondere tutti i pacchetti e vedere quanti risultati restituisce:

alert udp any any -> any any (msg:"This should match all UDP packets in an input file";)

Oltre a questo, non vedo alcun problema con la regola dello snort che hai dato nell'esempio, e segue Snort modulo di regole correttamente.

    
risposta data 09.04.2013 - 05:55
fonte

Leggi altre domande sui tag