snort firma file_inspect incoerentemente [chiuso]

Naviga le tue risposte
1

Sto provando il file snumps per ispezionare il preprocessore per bloccare i file in arrivo dai loro sha256sum. Sto usando la versione snort 2.9.9.0 con la modalità in linea di daq nfq tutte le mie configurazioni del preprocessore file_inspect sono mostrate di seguito: 

config file: \
file_signature_depth 0, \
file_capture_memcap 1000, \
file_capture_max 4294967295, \
file_capture_block_size 500000000, \
file_capture_min 0

preprocessor file_inspect: \
    signature, \
    capture_disk /root/file_capture 1024, \
    blacklist sha_blacklist

Dopo aver eseguito snort e scaricato 11 stessi file (648 byte) snort output uscite di statistiche del genere: 

File Preprocessor Statistics
  Total file type callbacks:            0
  Total file signature callbacks:       2
  Total files would saved to disk:      2
  Total files saved to disk:            0
  Total file data saved to disk:        0         bytes
  Total files duplicated:               2
  Total files reserving failed:         0
  Total file capture min:               0
  Total file capture max:               0
  Total file capture memcap:            0
  Total files reading failed:           0
  Total file agent memcap failures:     0
  Total files sent:                     0
  Total file data sent:                 0
  Total file transfer failures:         0
============================================
File type stats:
         Type              Download   (Bytes)      Upload     (Bytes)
            Total          0          0            0          0

File signature stats:
         Type              Download   Upload
Undecided file type, continue...(  0)          2          0
            Total          2          0

File type verdicts:
        UNKNOWN:           0
            LOG:           0
           STOP:           0
          BLOCK:           0
         REJECT:           0
        PENDING:           0
   STOP CAPTURE:           0
          Total:           0

File signature verdicts:
        UNKNOWN:           0
            LOG:           0
           STOP:           0
          BLOCK:           2
         REJECT:           0
        PENDING:           0
   STOP CAPTURE:           0
          Total:           2

Total files processed:             11
Total files data processed:        7128      bytes
Total files buffered:              11
Total files released:              2
Total files freed:                 9
Total files captured:              2
Total files within one packet:     2
Total buffers allocated:           11
Total buffers freed:               9
Total buffers released:            2
Maximum file buffers used:         1
Total buffers free errors:         0
Total buffers release errors:      0
Total memcap failures:             0
Total memcap failures at reserve:  0
Total reserve failures:            0
Total file capture size min:       0
Total file capture size max:       0
Total capture max before reserve:  0
Total file signature max:          0
Maximum buffers can allocate:      2
Number of buffers in use:          0
Number of buffers in free list:    1
Number of buffers in release list: 1
======================================

Come visto sopra, snort ha bloccato solo 2 di 11. Sono poco confuso su questo e qualsiasi aiuto sarebbe apprezzato.

Per chiarire cosa sto chiedendo: voglio bloccare i file usando snort file_preprocessore. Questo preprocessore non funziona come volevo. Come ho mostrato i dettagli sopra ho un file nella lista nera che ho provato a scaricare 11 volte uno snortato solo 2 bloccati. E questa è la mia domanda, come posso configurare snort per far sì che blocchi tutti i file nella lista nera senza casualità.

    
posta Berkay Koyutürk 11.09.2017 - 14:53
fonte

0 risposte

Leggi altre domande sui tag

La chiave della sessione è valida? TeamViewer Hack [chiuso]