Supponiamo di non aver scritto regole per un tipo di attacco in SNORT; È ovvio che non mostrerà alcun avviso. Voglio sviluppare un sistema in cui catturo i pacchetti che SNORT consente n per l'ulteriore elaborazione su quei pacchetti per rilevare se appartenessero a un attacco o no!
Quindi, come posso registrare i pacchetti che snort considerano autentici se non vengono scritte regole per questo?
Ti stai avvicinando a questo nel modo sbagliato. Un approccio molto migliore è utilizzare un motore di acquisizione come Daemonlogger e quindi elaborare i dati in tempo quasi reale.
Il motivo è che, proprio come Snort, più si aggiunge il set di regole, più lentamente funzionerà. Non fraintendermi, è molto buono, ma questo non è un modo ideale per configurarlo. Se hai a che fare con collegamenti ben utilizzati ad alta velocità, Snort potrebbe iniziare a eliminare i pacchetti.
Marty Roesch, creato da Snort, ha scritto Daemonlogger per risolvere esattamente questo problema. Daemonlogger viene utilizzato per l'acquisizione rapida di pacchetti completi, che viene quindi analizzato da una o più istanze Snort (o altri strumenti come SANCP, Silk, ecc.)
Piuttosto che ricominciare da capo, ti suggerisco di guardare SecurityOnion, che ha già tutte queste cose già installate e pronte per l'uso, oppure guarda NSMWiki.org, che ha grandi informazioni generali e molte informazioni specifiche su Sguil , che è un'eccellente architettura e interfaccia NSM.