da ciò che hai descritto, ho capito:
- Hai già i file PCAP da analizzare con Snort (quindi non stai eseguendo in modalità live ma stai leggendo le acquisizioni create in precedenza). Pertanto lo switch
-i
non si applica in questo caso.
- Snort interrompe il messaggio:
ERROR: Cannot decode data link type 127
- Quando parli di "rileva qualsiasi problema", presumo che tu stia specificatamente cercando comunicazioni di malware (e non problemi di rete di indagini, ad esempio problemi di livello 2 con il tuo Wifi!).
In primo luogo, è necessario rimuovere l'incapsulamento del collegamento al radiotap riscrivendo il tipo di collegamento del livello 2 in qualcosa che Snort può facilmente gestire, ad es. tipo di collegamento ether
Per questo è possibile utilizzare lo strumento editcap
dal progetto Wireshark.
editcap captura-analisar.pcapng -T ether captura-1.pcap
, dove:
-
-T ether
: imposta il tipo di incapsulamento del file di output su ether
.
A proposito, se la tua versione di Snort non legge i file PCAPNG, puoi anche convertirla con editcap
aggiungendo il parametro -F pcap
editcap captura-analisar.pcapng -F pcap -T ether captura-1.pcap
Da ora in poi puoi eseguire lo snort sui tuoi file PCAP con un comando come:
snort -A console -k none -K none -c snort.conf -r captura-1.pcap
dove:
-
-A
: invia avvisi alla console
-
-K
: modalità di registrazione, none
non creerà PCAP dagli avvisi, mentre pcap
lo farà. Utilizzare di conseguenza.
-
-k
: modalità checksum, ignora la convalida del checksum.
-
-c
: il tuo file di configurazione snort contenente variabili, opzioni di pre-elaborazione, regole.
-
-r
: leggi PCAP. essere a conoscenza di altre opzioni per leggere un sacco di file pcap, come --pcap-dir=/home/foo/pcaps
o --pcap-list="foo1.pcap foo2.pcap foo3.pcap"
Ha senso?
Cordiali saluti
J.C.
-
editcap
fa parte di Wireshark, vedi: link
PS: puoi controllare le proprietà dei file PCAP con capinfos -M captura.pcap
. Mostra informazioni su incapsulamento, quantità di pacchetti catturati, data di inizio / fine acquisizione, durata, ecc.