Snort: impossibile decodificare il tipo di collegamento dati 127 leggendo un file pcapng

0

Ho catturato sul mio wifi alcuni giorni fa e ora voglio snort per analizzare l'acquisizione per rilevare qualsiasi problema. Tuttavia, quando eseguo snort -l ./snort-log -b -c /etc/snort/snort.conf -r captura-analisar.pcapng , si arresta con

ERROR: Cannot decode data link type 127

Fatal Error, Quitting..

Suppongo che stia accadendo perché nel file ci sono alcuni dati 802.11 crittografati. Tuttavia, non tutti i pacchetti sono criptati. Se è il caso, come impostare snort per ignorare i dati crittografati e analizzare solo i decrittografati? O se non è il caso, qual è il problema?

    
posta Fabiotk 27.08.2017 - 05:54
fonte

1 risposta

1

da ciò che hai descritto, ho capito:

  • Hai già i file PCAP da analizzare con Snort (quindi non stai eseguendo in modalità live ma stai leggendo le acquisizioni create in precedenza). Pertanto lo switch -i non si applica in questo caso.
  • Snort interrompe il messaggio: ERROR: Cannot decode data link type 127
  • Quando parli di "rileva qualsiasi problema", presumo che tu stia specificatamente cercando comunicazioni di malware (e non problemi di rete di indagini, ad esempio problemi di livello 2 con il tuo Wifi!).

In primo luogo, è necessario rimuovere l'incapsulamento del collegamento al radiotap riscrivendo il tipo di collegamento del livello 2 in qualcosa che Snort può facilmente gestire, ad es. tipo di collegamento ether

Per questo è possibile utilizzare lo strumento editcap dal progetto Wireshark.

editcap captura-analisar.pcapng -T ether captura-1.pcap , dove:

  • -T ether : imposta il tipo di incapsulamento del file di output su ether .

A proposito, se la tua versione di Snort non legge i file PCAPNG, puoi anche convertirla con editcap aggiungendo il parametro -F pcap

editcap captura-analisar.pcapng -F pcap -T ether captura-1.pcap

Da ora in poi puoi eseguire lo snort sui tuoi file PCAP con un comando come:

snort -A console -k none -K none -c snort.conf -r captura-1.pcap

dove:

  • -A : invia avvisi alla console
  • -K : modalità di registrazione, none non creerà PCAP dagli avvisi, mentre pcap lo farà. Utilizzare di conseguenza.
  • -k : modalità checksum, ignora la convalida del checksum.
  • -c : il tuo file di configurazione snort contenente variabili, opzioni di pre-elaborazione, regole.
  • -r : leggi PCAP. essere a conoscenza di altre opzioni per leggere un sacco di file pcap, come --pcap-dir=/home/foo/pcaps o --pcap-list="foo1.pcap foo2.pcap foo3.pcap"

Ha senso?

Cordiali saluti J.C.

  • editcap fa parte di Wireshark, vedi: link

PS: puoi controllare le proprietà dei file PCAP con capinfos -M captura.pcap . Mostra informazioni su incapsulamento, quantità di pacchetti catturati, data di inizio / fine acquisizione, durata, ecc.

    
risposta data 12.10.2018 - 16:49
fonte

Leggi altre domande sui tag