Come registrare i pacchetti consentiti da SNORT?

1

Supponiamo di non aver scritto regole per un tipo di attacco in SNORT; È ovvio che non mostrerà alcun avviso. Voglio sviluppare un sistema in cui catturo i pacchetti che SNORT consente n per l'ulteriore elaborazione su quei pacchetti per rilevare se appartenessero a un attacco o no!

Quindi, come posso registrare i pacchetti che snort considerano autentici se non vengono scritte regole per questo?

    
posta NEENU 07.02.2014 - 07:51
fonte

1 risposta

0

Ti stai avvicinando a questo nel modo sbagliato. Un approccio molto migliore è utilizzare un motore di acquisizione come Daemonlogger e quindi elaborare i dati in tempo quasi reale.

Il motivo è che, proprio come Snort, più si aggiunge il set di regole, più lentamente funzionerà. Non fraintendermi, è molto buono, ma questo non è un modo ideale per configurarlo. Se hai a che fare con collegamenti ben utilizzati ad alta velocità, Snort potrebbe iniziare a eliminare i pacchetti.

Marty Roesch, creato da Snort, ha scritto Daemonlogger per risolvere esattamente questo problema. Daemonlogger viene utilizzato per l'acquisizione rapida di pacchetti completi, che viene quindi analizzato da una o più istanze Snort (o altri strumenti come SANCP, Silk, ecc.)

Piuttosto che ricominciare da capo, ti suggerisco di guardare SecurityOnion, che ha già tutte queste cose già installate e pronte per l'uso, oppure guarda NSMWiki.org, che ha grandi informazioni generali e molte informazioni specifiche su Sguil , che è un'eccellente architettura e interfaccia NSM.

    
risposta data 07.02.2014 - 11:30
fonte

Leggi altre domande sui tag