Snort Impossibile rilevare i portscan nella LAN

Naviga le tue risposte
1

Informazioni sull'installazione

Sto facendo esperimenti su rilevamento portscan utilizzando snort 2.9.8 . Ho 10 sistemi nel mio laboratorio con id: 1,2,3 ,. .., 10. ho installato snort nel mio lab-pc con id: 1 . Ora sono usando Pc con id: 2 per eseguire la scansione dei PC in lab usando nmap.

Il dubbio

Quando eseguo la scansione della macchina su cui è installato lo snort (id: 1), ricevo gli avvisi portscan, tuttavia quando eseguo la scansione di altri sistemi (es: system with id: 3), snort non genera alcun avviso.

Quindi, perché snort non è in grado di generare avvisi di portcan in questo scenario?.

(Supponevo che snort monitorasse i pacchetti in HOME_NETWORK in modalità promiscous, Gentilmente correggimi se sbaglio.)

    
posta user10012 11.04.2016 - 13:31
fonte

3 risposte

3

I was assuming that snort monitors packets in HOME_NETWORK in promiscous mode,Kindly correct me if i am wrong.

Snort può solo monitorare i pacchetti che possono essere visti sulla scheda di rete, anche in modalità promiscua. Di solito lo switch in una rete invierà solo pacchetti sulla porta in cui è connesso il dispositivo specifico. Ciò significa che Snort deve essere installato sulla porta del monitor dello switch o simile.

Vedi anche link

    
risposta data 11.04.2016 - 13:42
fonte
1

Difficile da dire senza conoscere la topologia della rete, ma suppongo che tu non abbia impostato snort su una porta SPAN o simile.

Se la tua rete è attiva, la casella di snort non riceverà traffico che non è diretto né alla trasmissione. Potrebbe essere in ascolto in modalità promiscua, ma se i pacchetti non stanno effettivamente colpendo l'interfaccia, non c'è molto che lo snort possa fare al riguardo.

La soluzione sarebbe quella di mettere lo snort in una posizione in cui può vedere il traffico che si desidera rilevare. Inline (tra i due host) o su una porta SPAN che rispecchia il traffico sullo switch.

    
risposta data 11.04.2016 - 13:41
fonte
0

Assicurati che il tuo IDS sia connesso allo switch in modalità SPAN o in modalità mirroring della porta. Quindi devi configurare SPAN per vlan e poi tutti i pacchetti colpiscono la tua porta, ergo la tua scheda di rete, ergo snort.

    
risposta data 19.10.2016 - 14:35
fonte

Leggi altre domande sui tag

Come posso leggere il codice sorgente di questo script PowerShell codificato dal registro? Timestamp vs Attacco a ripetizione